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Editorial 


Die Schlacht um die DSGVO ist vorläufig ausgefochten; das Hauen und Stechen um 
die ePrivacy-Verordnung kommt nicht so richtig voran. Dass solche Zeiten nicht 
ohne Auseinandersetzungen bleiben, dafür sorgt die technische Entwicklung. Diese 
ist geprägt vom Siegeszug von Big Data und - so heißt es zumindest - der „künst- 
lichen Intelligenz”. Tatsächlich kommt kaum noch ein modernes technisches Gerät 
ohne komplexe Algorithmen aus, mit denen dessen Anwendung erleichtert, ver- 
bessert werden soll. In unseren Netzgeräten, vom PC über das Tablet bis zum Smart 
Phone stecken hochgradig komplexe Algorithmen, die bestimmen, was wir sehen, 
was wir lesen, mit dem wir kommunizieren, was wir spielen, für was wir uns interes- 
sieren. Auch viele Geräte, denen wir die Vernetzung gar nicht ansehen, z. B. unsere 
Autos, nehmen an diesem Trend teil. Dass damit an Selbstbestimmung für uns ver- 
loren geht, ist uns individuell kaum bewusst. Es ist fast ein Treppenwitz, wären die 
Folgen nicht global so gravierend, dass die Algorithmen des Silicon Valley dazu bei- 
getragen haben, dass ein Trump gewählt und für einen Brexit gestimmt worden ist: 
Zwei Entscheidungen, die schwerlich mit dem global-libertären Selbstverständnis 
der meisten Algorithmen-Macher im Südwesten der USA in Einklang stehen. 


Die Algorithmen entwickeln eine eigene Dynamik, keine Eigendynamik: Sie werden 
eingesetzt zur Beherrschung der Welt und deren Bewohner. Wie dies bewusst und 
gezielt geschieht, exerziert uns die Volksrepublik China vor. In einer solchen digital 
gesteuerten Überwachungsgesellschaft wollen wir nicht leben. Auf der Tagesord- 
nung steht daher zwangsläufig die Algorithmenkontrolle, der sich das vorliegende 
Heft schwerpunktmäßig widmet: Sarah Spiekermann zeigt uns auf, wie digitale und 
reale Welt auseinanderdriften. Dann haben wir einen 18 Jahre alten klassischen Text 
von Lawrence Lessig übersetzt, der visionär darlegt, wie der Algorithmus zum Gesetz 
wird. Lina Ehrig und Miika Blinn vom Verbraucherzentrale Bundesverband (vzbv) 
thematisieren die verbraucherpolitischen Herausforderungen. Ich selbst nehme 
eine verfassungsrechtliche Bewertung vor und mache einen ersten praktischen Vor- 
schlag zur Algorithmuskontrolle. 


Ergänzt wird das Heft durch Klaus-Jürgen Roth, der das Verhältnis der Politik in 
Schleswig-Holstein zur Regulierung der Datenschutzkontrolle nachvollzieht, sowie 
wieder durch viele aktuelle Meldungen aus dem In- und Ausland, von der Technik, 
aus der Rechtsprechung und zur Literatur. Es ist also wieder Spannendes für die 
spätsommerliche Lektüre geboten. Viel Spaß und Erkenntnisgewinn dabei. 


Thilo Weichert 
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Sarah Spiekermann 


Die große Big-Data-Illusion 


Konzerne, die in großem Stil Daten 
erheben und mit ihnen handeln, be- 
haupten, sie wüssten alles. Dabei ver- 
zerren sie das Bild des Menschen und 
von der Welt. Ihr falsches Spiel muss 
ein Ende haben. 


Ich denke, dass wir uns - poli- 
tisch, wirtschaftlich und persönlich 
- schnellstmöglich darüber Gedanken 
machen müssen, wie wir dafür Sorge 
tragen, dass Digitalisierung auch in Zu- 
kunft unserem menschlichen und un- 
ternehmerischen Wohlbefinden dient 
und nicht sehr bald ihre eigenen (Vor- 
teils-) Kinder frisst. 

Digitalisierung war einmal gut. In 
den achtziger und neunziger Jahren 
konnten ungeheure wirtschaftliche und 
private Vorteile durch sie geschaffen 
werden. Das Netz war ein ökonomisches 
Integrationsprojekt, ein Demokratie- 
projekt und ein Projekt, das uns Zugang 
zu Wissen gegeben hat. Aber seit digi- 
tale Geräte breitbandig vernetzt sind 
und angefangen haben, ein Eigenleben 
zu entwickeln, was uns abhängig macht 
und dauerhaft überwacht, geht es berg- 
ab. In meiner Forschung interessiere 
ich mich im Moment dafür, was diesen 
„Knackpunkt” Richtung Abgrund aus- 
macht. Was dazu gehört, nenne ich die 
„Big-Data-Illusion”. 

Wir sehen Filme und Serien wie „Ex 
Machina”, „Westworld“ oder „Humans“, 
die hochintelligente Humanoide (Robo- 
ter) vorstellen. Große Museen organisie- 
ren transhumanistische Ausstellungen 
zur dunklen Zukunft der Menschen als 
Cyborgs. In Saudi-Arabien erhielt eine 
Roboterfrau namens Sophia sogar die 
Staatsbürgerschaft und hielt eine völ- 
lig absurde Rede, der UN-Mitarbeiter 
zu huldigen hatten wie einem golde- 
nen Kalb. Big Data, so wird uns erzählt, 
bringt auf magische Weise superintelli- 
gente Wesen in die Welt, die die Mensch- 
heit retten werden. 

Aber ganz ehrlich. Wie soll Big Data 
jemals auch nur ansatzweise intelli- 
gent im menschlichen Sinne sein? Ich 
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will großen Datenmengen nicht ab- 
sprechen, dass sie neben einer Menge 
Rauschen Muster erkennen, die uns als 
Menschen entgehen und die durchaus 
interessant, ja wichtig sein können. Die 
KI hat ihren eigenen Platz in der Intel- 
ligenzgeschichte. Aber das, was für uns 
Menschen von Bedeutung ist, im Privat- 
leben, in der Firma, in der Politik, das 
kann und wird sie niemals erfassen. 
Sympathie, Schönheit, Zauber, Ehr- 
furcht, Frömmigkeit, Neugierde, Sorge. 
Es geht um Werte, die sich mit unseren 
Erinnerungen und externen Stimuli 
durchmischen, um das zu generieren, 
was für uns in der Gegenwart den Raum 
des Bewusstsein bildet, wobei dieser 
Raum gleichermaßen von Vergangen- 
heit und Zukunft bestimmt ist wie von 
relevantem Entferntem und bedeut- 
samem Nahem. All das jedoch ist un- 
sichtbar. Es ist nicht messbar, nicht 
beobachtbar, nicht fassbar, nicht ext- 
rapolierbar. Kein digitaler Sensor dieser 
Welt kann dieses Unsichtbare messen. 
Maschinen haben keinerlei Einblick in 
das, was für einen Menschen an Ort und 
Stelle von Bedeutung ist. Wenn dem 
aber so ist, wie sollen dann all diese Ro- 
boterfiktionen jemals wahr werden? 
Worin Maschinen wirklich gut sind, 
ist Secondhand-Daten zu erfassen. Fa- 
cebook kann sofort auf Fotos erkennen, 
ob jemand lacht und darauf schließen, 
dass derjenige wohl glücklich gewesen 
sein muss. Facebook weiß, ob die Paare 
auf den Fotos verheiratet sind, weil es 
vielleicht vom Meldeamt Informationen 
erworben hat, oder weil die Paare das 
selbst auf der Plattform angegeben ha- 
ben. Aufgrund des Geotaggings könnte 
Facebook bei einem Foto vom Vatikan 
glauben, dass derjenige, der das Foto 
hochgeladen hat, tatsächlich dort war. 
Smartphone-Daten können diese Infor- 
mationen noch viel genauer erfassen. 
Es kann genau nachvollzogen werden, 
an welchen Orten jemand nacheinan- 
der war, welcher Art diese Orte sind. 
Mobilfunkgeräte wissen, wie groß eine 
Menschenmenge ist oder ob es dem 


Besitzer des Geräts gutgeht, denn die 
Bewegungssensoren bekommen mit, 
wie schnell oder langsam sich jemand 
im Vergleich zu anderen Tagen bewegt. 
Emotionale Worte und Emojis in Messa- 
ges und Mails zeigen an, wie gutjemand 
gerade gelaunt ist. Aus solchen Daten 
können Maschinen eine Menge über 
unser Leben und unsere Persönlichkeit 
schließen. 

Es gibt nur einen Haken. Ich bin nicht 
aufFacebook und mein Mann auch nicht 
und keiner unserer engen Freunde. 
Fotos, auf denen nicht gelächelt wird, 
stellt ohnehin kaum jemand online. 
Ständig posten Leute Fotos von Plätzen, 
an denen sie nie waren und entnehmen 
schöne Bilder aus Fotogalerien. Man 
überlegt sich zweimal, was man on- 
line sagt. Das Mobiltelefon könnte man 
durchaus zu Hause gelassen haben. 
Dann denken die Betreiber, Hersteller 
und App-Provider, die auf die Smart- 
phone-Daten in Echtzeit zugreifen, dass 
man vielleicht depressiv im Bett liegt 
und niemandem mehr schreibt, wo man 
in Wirklichkeit fröhlich woanders unter- 
wegs war. 

Was heißt das? Der Secondhand-Ein- 
druck von uns, der heute mit dem Be- 
griff Big Data beschrieben wird, ist zwar 
umfassend, aber er zeichnet ein Bild von 
uns, das nicht unbedingt mit unserer 
Realität übereinstimmt. Während uns 
die Schöne-neue-Welt-Spezialisten aus 
dem Silicon Valley glauben lassen wol- 
len, sie würden virtuelle Spiegelwelten 
schaffen, lassen uns klügere Leute wie 
Jaron Lanier wissen, was sie davon hal- 
ten: „Die tiefe Bedeutung des mensch- 
lichen Daseins wird reduziert auf eine 
Illusion von Bits.” 

In der Tat wissen die Leute, die heute 
Big Data sammeln, verwalten und nut- 
zen, nur zu gut um dieses Defizit. Des- 
wegen kommen heute noch 95 Prozent 
der Werbebotschaften zum falschen 
Zeitpunkt. Jeder, der mit KI und Daten 
gearbeitet hat, weiß dass die Daten 
nicht vollständig, dass sie oft falsch, 
dass sie selektiv sind und dass sie über 
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Kontexte hinweg verbunden und ver- 
fremdet werden. Künstliche Intelligen- 
zen machen die absurdesten Klassifi- 
kationsfehler. Wenn man mit diesen 
Fehlern weiterrechnet, entsteht noch 
mehr Unsinn. Dabei stehen die Daten- 
sammler unter Druck, denn ihre absurd 
hohen Börsennotationen hängen davon 
ab, dass die ganze Welt an Big Data als 
„Öl“ der Digitalökonomie glaubt. So ha- 
ben die Firmen mit der Jagd nach noch 
mehr Daten begonnen. Sie sind auf der 
Suche nach dem Unsichtbaren, dem 
nicht messbaren, dem wahren Kern des 
menschlichen Bewusstseins. 

Eine Strategie ist, uns mit noch mehr 
Technologie einzudecken, uns zu „en- 
velopen“. Umfangen sollen wir sein 
in Smart Homes, von Smart Clothing, 
Smart Glases, Smart Chips und vielleicht 
sogar bald Chips unter der Haut haben, 
die ein Cyborg-Leben für uns einläuten. 
Doch während wir lustig ignorant mit 
diesem ganzen IT-Zeugs spielen, entste- 
hen da draußen gigantische Datenban- 
ken über uns voller Fehler und Einsei- 
tigkeiten. 

Nahmen wir mal eine Firma wie Ac- 
xiom, die laut ihres Geschäftsberichts 
2016 Daten über siebenhundert Milli- 
onen Personen hat und verspricht, zu 
den Menschen fünftausend Datenpunk- 
te liefern zu können, inklusive Daten 
zu nahezu jedem deutschen Haushalt. 
Die Firma Oracle sagt im Januar 2017, 
sie könne über ihre Oracle-Bluekai-Da- 
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tenplattform auf zwei Milliarden Kon- 
sumentenprofile weltweit zugreifen mit 
angeblich dreißigtausend Attributen 
pro Person, die sie von tausendfünfhun- 
dert Datenlieferanten bekommt. 

Acxiom und Oracle sind nur die grö- 
ßeren von mehr als tausend Firmen, die 
alle von dem Versprechen leben, dass 
unsere Daten ihnen Einsicht in das Un- 
sichtbare geben: unsere Werte, unsere 
Bedürfnisse und unsere Wünsche. Diese 
Firmen können nicht nur vom Werbege- 
schäft leben, wenn jeder Mensch heute 
3.000 Werbebotschaften am Tag sieht 
und sich die Leute aufgrund der Infor- 
mationsflut heute an achtzig Prozent 
weniger Werbungen erinnern als noch 
vor ein paar Jahren. 

Wovon leben diese Firmen also? Sie le- 
ben von einer Unzahl von Anwendungs- 
feldern, in denen Secondhand-Daten 
heute als „gut genug” akzeptiert werden 
und teilweise auch sind. Sie sind in je- 
dem Fall gut genug, um unsere Freiheit 
und Demokratie zu untergraben, indem 
sie Facebook helfen, arabische Früh- 
linge zu organisieren, amerikanische 
Präsidenten zur Wahl zu verhelfen und 
Europa durch den Brexit durcheinan- 
derzubringen. Sie werden als gut genug 
angesehen, um unser Wohlbefinden zu 
untergraben, weil Banken unsere Kre- 
ditwürdigkeit darauf abstellen können, 
unsere Versicherungsraten anpassen 
und unsere Flugpreise erhöhen. Sie 
können herangezogen werden, um Be- 
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werber zu prüfen und damit über die 
Zukunft von Menschen zu entscheiden. 

Sie werden als gut genug angesehen, 
um Softwareassistenten wie Alexa zu 
trainieren, die dann unsere Kinder er- 
ziehen. Und immer mehr Länder ziehen 
sie heran, um Polizeieinsätze zu planen 
und für Bürger - wie in China - indivi- 
duelle Vertrauensscores zu errechnen. 
Immer mehr Menschen, Politiker, Si- 
cherheitsbehörden, Journalisten stüt- 
zen heute ihre Entscheidungen auf ihre 
eigenen Filter-Bubbles und Echo-Cham- 
bers, die auf den Secondhand-Daten 
aufgebaut sind und die ihnen aus der 
scheinbar „objektiven“ Datenwelt zuge- 
spielt werden. 

Das Resultat sind politische Konflik- 
te, in denen jeder nur noch seine eige- 
ne Wahrheit kennt und der öffentliche 
Raum als Grundlage jeder Demokratie 
zerstört ist. So untergräbt eine gigan- 
tische Big-Data-Illusion unsere Werte. 
Es wird Zeit, dass diese Blase endlich 
platzt, wir die Big-Data-Illusion und 
ihre Artefakte hinterfragen und endlich 
wieder Realismus Einzug hält. 


Der Text basiert auf Sarah Spiekermanns 
Laudatio, die sie anlässlich der Verleihung 
der BigBrotherAwards 2018 in Bielefeld 
gehalten hat (DANA 2/2018, 94). Eine Erst- 
veröffentlichung dieses Textes erfolgte in 
der Frankfurter Allgemeinen Zeitung vom 
25.04.2018. 13. 
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Lawrence Lessig, übersetzt von Thilo Weichert 


Algorithmen sind Gesetz - Code is Law 


Über die Freiheit im digitalen Raum 


Jedes Zeitalter entwickelt seine eige- 
nen potenziellen Ordnungskräfte und 
seine Freiheitsbedrohungen. Die Grün- 
dungsväter der USA befürchteten eine 
mit neuer Macht ausgestattete föderale 
Regierung und erließen die Verfassung 
als Antwort auf diese Angst. John Stu- 
art Mill befürchtete die Festschreibung 
derim England des 19. Jahrhunderts be- 
stehenden sozialen Normen; sein Buch 
„On Liberty” richtete sich gegen diese 
Festschreibungen. Viele fortschrittliche 
Menschen befürchteten im 20. Jahrhun- 
dert die Ungerechtigkeiten des Marktes. 
Als Antwort darauf wurden die Marktre- 
gulierung und die diese flankierenden 
sozialen Sicherheitsnetze etabliert. 

Unser Zeitalter ist das des Cyberspace, 
des digitalen Raums. Auch dieser hat 
eine Ordnungskraft. Auch diese Kraft 
bedroht unsere Freiheit. Da wir aber 
so von der Idee gefangen sind, dass 
Freiheit „Freiheit von der Regierung” 
bedeutet, erkennen wir nicht die Ord- 
nungskraft dieses neuen Raums. Und 
deshalb erkennen wir auch nicht die Be- 
drohung für unsere Freiheit, die diese 
Kraft darstellt. 

Diese Ordnungskraft sind Algorith- 
men, ist der Computercode - die Soft- 
und die Hardware, die den digitalen 
Raum zu dem machen, was er ist. Dieser 
Code - bzw. die informationstechnische 
Architektur - legt die Bedingungen 
fest, unter welchen das Leben im digi- 
talen Raum stattfindet und erlebt wird. 
Er bestimmt, wie leicht es ist, Privat- 
heit zu schützen, und wie leicht es ist, 
Meinungsäußerungen zu zensieren. Er 
bestimmt, ob Informationszugänge ge- 
nerell oder nur eingeschränkt bestehen. 
Er hat Einfluss darauf, wer was sieht und 
was kontrolliert wird. Dies geschieht 
in Erscheinungsformen, die man nicht 
sieht, solange man nicht die Formen 
dieses Codes zu verstehen beginnt, des 
Codes, der den digitalen Raum ordnet. 

Diese Ordnung unterliegt einem Wan- 
del. Der Code des digitalen Raums ver- 
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ändert sich. Und so wie sich dieser Code 
verändert, ändert sich auch der Charak- 
ter des digitalen Raums. Dieser Raum 
wird aus einem Raum, der Anonymität, 
freie Meinung und individuelle Kontrol- 
le schützt, zu einem Raum, der Anony- 
mität schwieriger, Meinungsäußerung 
weniger frei und individuelle Kontrolle 
zu einem nur einzelnen Experten zu- 
gänglichen Bereich macht. 

Mein Ziel ist es, in diesem kurzen Text 
eine Gefühl für diese Regulierung zu ge- 
ben und dafür, wie sich diese verändert. 
Wenn wir nicht verstehen, wie der digi- 
tale Raum Werte unserer Verfassungs- 
tradition integriert oder verdrängt, 
werden wir die Kontrolle über diese 
Werte verlieren. Das Gesetz im digitalen 
Raum - die Algorithmen - werden sie 
verdrängen. 


Die Regulierungen durch 
Algorithmen 


Der grundlegende Code des Internet 
implementiert einen Satz von Protokol- 
len, genannt TCP/IP. Diese Protokolle 
ermöglichen den Datenaustausch zwi- 
schen miteinander verbundenen Netz- 
werken. Dieser Austausch erfolgt, ohne 
dass die Netzwerke den Dateninhalt 
kennen und ohne eine wahre Vorstel- 
lung davon zu haben, wer im realen Le- 
ben Absender eines speziellen Datenbits 
ist. Der Code ist neutral gegenüber den 
Daten und unwissend bezüglich dem 
Nutzer. 

Dieses Charakteristikum von TCP/IP 
hat Konsequenzen für die Regulierbar- 
keit des Verhaltens im Internet. Es er- 
schwert die Regulierung von Verhalten. 
In dem Maße, in dem es schwierig ist zu 
klären, wer die handelnden Personen 
sind, wird es schwieriger, Verhalten zu 
einem spezifischen Individuum zurück- 
zuverfolgen. Und in dem Maße, in dem 
es schwierig ist zu klären, welche Daten 
gesendet werden, ist es schwieriger, die 
Nutzung von besonderen Datenarten zu 


regulieren. Diese Architekturmerkma- 
le des Internet haben zur Folge, dass 
Regierungen sich in ihrer Möglichkeit 
gewissermaßen behindert sehen, Ver- 
halten im Netz zu regulieren. 

In bestimmten Zusammenhängen hat 
diese Unregulierbarkeit für bestimmte 
Personen einen Wert. Dieses Merkmal 
des Netzes schützt die freie Meinungs- 
äußerung. Es schreibt den ersten Ver- 
fassungszusatz der US-Verfassung in 
der Architektur des digitalen Raums 
fest, weil er es Regierungen oder mäch- 
tigen Institutionen relativ schwierig 
macht zu kontrollieren, wer was wann 
sagt. Informationen von Bosnien oder 
Osttimor können frei in die Welt gelan- 
gen, weil das Netz es den Regierungen 
in jenen Staaten schwer macht zu kon- 
trollieren, wie Informationen fließen. 
Das Netz erschwert dies aufgrund seiner 
Architektur. In anderen Zusammenhän- 
genist diese Unregulierbarkeit mit einer 
anderen Perspektive kein Vorteil - etwa 
wenn die deutsche Regierung mit Nazi- 
sprüchen konfrontiert wird oder die US- 
Regierung mit Kinderpornografie. Die 
Architektur verhindert dann Ordnung. 
Unregulierbarkeit kann in solchen Zu- 
sammenhängen als schädlich angese- 
hen werden. 

Dies gilt nicht nur für Nazisprüche 
und Kinderpornografie. Die wichtigen 
Regulierungszusammenhänge werden 
in Zukunft mit dem Internet-Handel zu 
tun haben: die Architektur ermöglicht 
hier keine sicheren Transaktionen; sie 
macht es leicht, die Quelle von Beein- 
trächtigungen zu verbergen; sie erleich- 
tert die Verbreitung illegaler Software- 
und Musikkopien. In diesen Kontexten 
zum Beispiel im Bereich eCommerce 
erweist sich die Unrequlierbarkeit nicht 
als Vorteil; Unregulierbarkeit kommt 
dann der Entwicklungsfähigkeit des 
eCommerce in die Quere. 

Was kann also getan werden? Es gibt 
viele, die meinen, dass nichts getan 
werden könne: dass die Unrequlierbar- 
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keit des Internet feststeht und dass es 
nicht möglich ist, dies zu ändern, dass 
das Internet für die Dauer seines Beste- 
hens ein unregulierbarer Raum bleiben 
wird, dass seine „Natur“ es dazu macht. 

Für die Zukunft der Freiheit im digita- 
len Raum ist keine Überlegung gefähr- 
licher als dieser Glaube an eine durch 
Computercode garantierte Freiheit. Al- 
gorithmen sind nicht beständig. Die Ar- 
chitektur des digitalen Raums ist nicht 
vorgegeben. Unregulierbarkeit ist eine 
Funktion des Codes, doch dieser kann 
sich ändern. Andere Architekturen 
können über die grundlegenden TCP/ 
IP-Protokolle gelegt werden und die- 
se anderen Architekturen können das 
Netz grundlegend requlierbar machen. 
Im eCommerce entstehen diese anderen 
Architekturen; die Regierung kann hel- 
fen; beide zusammen können den Cha- 
rakter des Netzes wandeln. Sie können 
und tun dies. 


Andere Architekturen 


Das, was das Netz unregulierbar 
macht, ist, dass schwierig festgestellt 
werden kann, wer jemand ist, und 
schwierig festzustellen ist, welche Art 
von Inhalt übermittelt wird. Diese bei- 
den Eigenschaften verändern sich der- 
zeit. Architekturen zur Erleichterung 
der Identifikation - oder allgemeiner 
zur Bestätigung von Fakten über den 
Nutzenden (z. B. dass jemand älter als 
18, dass jemand er selbst, ein US-Ame- 
rikaner, ein Rechtsanwalt ist) - werden 
entwickelt und implementiert. All die- 
se Architekturen wurden ohne Regie- 
rungserlaubnis entwickelt und zusam- 
men können sie ein außergewöhnliches 
Maß an Kontrolle des Verhaltens im Netz 
ermöglichen. Zusammen können sie die 
Unrequlierbarkeit des Netzes schnell be- 
seitigen. 

Können - je nachdem, wie sie geplant 
sind. Architekturen sind nicht binär, es 
gibt nicht nur eine Wahl hinsichtlich der 
Einrichtung einer Identifizierungsar- 
chitektur oder einer Bewertungsarchi- 
tektur - was die Architektur ausmacht, 
wie ihre Kontroll- und Auswahlmecha- 
nismen beschränkt sind. Je nachdem, 
wie insofern entschieden wird, ist mehr 
oder weniger Regulierbarkeit im Spiel. 

Betrachten wir zunächst Identifizie- 
rungs- oder Zertifizierungsarchitektu- 
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ren. Es gibt viele Zertifizierungsarchi- 
tekturen im realen Raum. Der Führer- 
schein ist ein einfaches Beispiel: Wenn 
die Polizei dich stoppt und nach deinem 
Führerschein fragt, fragt sie nach ei- 
ner bestimmten Bestätigung, dass du 
zum Autofahren berechtigt bist. Diese 
Bestätigung gibt Auskunft über deinen 
Namen, dein Geschlecht, dein Alter und 
deinen Wohnort. All das ist nötig, weil 
es keine einfachere Art gibt, diese Be- 
rechtigung mit einer Person zu verbin- 
den. Du musst all diese Fakten über dich 
preisgeben, um zu beweisen, dass du 
tatsächlich der berechtigte Inhaber des 
Führerscheins bist. 

Bestätigungen im digitalen Raum 
können dagegen sehr viel eingeschränk- 
ter gestaltet sein. Wenn der Zugriff auf 
eine Seite nur Erwachsenen erlaubt ist, 
kannst du unter Nutzung von Nachweis- 
techniken ausschließlich bestätigen, 
dass du ein Erwachsener bist, ohne of- 
fenzulegen, wer du bist und woher du 
kommst. Die Technik kann es ermögli- 
chen, selektiv Umstände über dich zu 
bestätigen und zugleich andere Um- 
stände über dich nicht zu offenbaren. 
Die Technik kann im digitalen Raum 
gemäß einer Prüfmethode der geringst- 
möglichen Offenbarung funktionieren, 
auch wenn das im realen Raum nicht 
möglich wäre. 

Kann - je nachdem, wie sie gestal- 
tet wurde. Es besteht jedoch keine 
Zwangsläufigkeit, dass die Technik sich 
so entwickelt. Es werden ganz andere 
Architekturen entwickelt - wir können 
sie „eine Karte zeigt alles” nennen. 
In derartigen Architekturen lässt sich 
nicht einfach begrenzen, was über ein 
Zertifikat offengelegt wird. Wenn du 
bestätigt haben möchtest, dass du ein 
Rechtsanwalt bist, und wenn ein Zer- 
tifikat Auskunft über Namen, Adresse, 
Alter, Nationalität gibt und, ob du ein 
Rechtsanwalt bist, so bestätigt diese Ar- 
chitektur nicht nur, dass du ein Anwalt 
bist, sondern auch all die anderen Fak- 
ten über dich, die in dem Zertifikat ent- 
halten sind. Bei einer solchen Architek- 
tur wird „mehr“ als „besser“ angesehen. 
Nichts ermöglicht es dem Einzelnen, 
weniger auszuwählen. 

Der Unterschied bei diesen Gestal- 
tungsformen liegt darin, dass die eine 
- anders als die andere - Privatheit er- 
möglicht. Eine codiert Privatheit in der 


Identifizierungsarchitektur, indem sie 
dem Nutzenden eine einfache Wahl ein- 
räumt, wie viel offenbart wird; die ande- 
re vernachlässigt dieses Ziel. 

Ob eine entstehende Zertifizierungs- 
architektur Privatheit schützt, hängt 
also von der Entscheidung derjenigen 
ab, die kodieren. Und deren Entschei- 
dung ist abhängig von den Anreizen, 
denen sie ausgesetzt sind. Gibt es kei- 
ne Anreize zum Schutz von Privatheit, 
wenn also weder der Markt noch das 
Gesetz dies hinreichend fordern, dann 
wird dieser Code dies auch nicht vorse- 
hen. 

Das Beispiel zur Identifizierung ist 
nur eines unter vielen. Betrachten wir 
ein anderes Beispiel zum Datenschutz: 
RealJukeBox ist eine Technik, um Mu- 
sik von einer CD auf einen Computer zu 
kopieren oder um Musik aus dem Netz 
auf die Festplatte eines Computers he- 
runterzuladen. Im Oktober (1999, der 
Übersetzer) wurde bekannt, dass dieses 
System ein wenig neugierig ist, dass es 
die Festplatte des Nutzers ausspionierte 
und das Gefundene an das Unterneh- 
men zurückmeldete. Natürlich tat es das 
heimlich. RealNetworks legte nieman- 
dem offen, dass seine Produkte persön- 
liche Daten sammelten und übermittel- 
ten. Es passierte einfach. Als dieses Aus- 
spionieren entdeckt wurde, verteidigte 
das Unternehmen zunächst die Praxis 
(und behauptete, dass tatsächlich kei- 
ne Daten von Einzelpersonen gespei- 
chert würden). Doch es kam schnell zu 
Vernunft und versprach, künftig solche 
Daten nicht mehr zu sammeln. 

Auch dieses Problem hat seine Ursa- 
che in der Architektur. Es lässt sich im 
digitalen Raum nicht leicht sagen, wer 
was ausspioniert. Das Problem ließe 
sich durch eine andere Architektur lö- 
sen (so könnte z. B. eine P3P genannte 
Technik hier helfen), doch ist das ein 
Fall, wo zudem Gesetze nützlich wären. 
Sollte man derartige Daten als das Ei- 
gentum der Betroffenen angesehen wer- 
den, dann wäre deren Wegnahme ohne 
ausdrückliche Erlaubnis Diebstahl. 

In diesem und in anderen Zusam- 
menhängen verschaffen Architekturen 
unseren traditionellen Werten Wirkung 
- oder eben nicht. In jedem Fall müssen 
Entscheidungen getroffen werden, wie 
die Architektur des Internet am besten 
konform mit unseren Werten ausgebaut 


131 


werden soll und wie diese Architekturen 
mit dem Recht in Einklang zu bringen 
sind. Die Entscheidung über Codes und 
über Gesetze ist eine Entscheidung über 
Werte. 


Werte wählen 


Wollen wir also bei der Auswahl des 
Codes mitreden, wenn der Code unsere 
Werte festlegt, wollen wir uns darum 
kümmern, wie Werte hierin der Realität 
umgesetzt werden? 

Zu anderen Zeiten wäre dies eine komi- 
sche Frage gewesen: Selbstbestimmung 
ist von zentraler Bedeutung, etwa im 
Hinblick auf das Verfolgen der eigenen 
Person oder im Hinblick auf die Verän- 
derung der unsere grundlegenden Werte 
beeinflussenden Bedingungen - oder, 
wie ich es am Anfang beschrieben habe, 
im Hinblick auf Regulierungen, die unse- 
re Freiheit beeinflussen. Zu anderen Zei- 
ten hätten wir gesagt: „Selbstverständ- 
lich wollen wir uns kümmern; selbstver- 
ständlich wollen wir mitreden.” 

Aber wir leben in Zeiten grundlegen- 
der Skepsis im Hinblick auf Selbstbe- 
stimmung. Unsere Zeit ist davon beses- 
sen, Dinge sich selbst zu überlassen. Es 
ist allgemeine Meinung, dass man das 
Internet sich so entwickeln lassen soll, 
wie die Kodierer es entwickeln: Lasst 
bloß die Regierung außen vor. 

Diese Sichtweise ist angesichts des 
Charakters der Regulierung durch un- 
sere Regierung nachvollziehbar. Ange- 
sichts der Mängel scheint es zweifellos 
das Beste zu sein, die Regierung her- 
auszuhalten. Doch ist dies eine zu jeder 
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Zeit gefährliche Nachgiebigkeit. Diese 
istinsbesondere jetzt gefährlich. 

Wir haben nicht die Wahl, entweder zu 
regulieren oder nicht zu regulieren. Der 
Code reguliert. Er setzt Werte um, oder 
er lässt dies bleiben. Er ermöglicht Frei- 
heiten oder behindert diese. Er schützt 
Privatheit oder fördert Überwachung. 
Die Menschen bestimmen, wie der Code 
diese Dinge tut. Code wird von Men- 
schen geschrieben. Es geht also nicht 
darum, ob Menschen entscheiden, wie 
der digitale Raum reguliert wird. Men- 
schen - die Kodierer - tun dies. Wir ha- 
ben nur die Wahl, ob wir kollektiv etwas 
zu sagen haben bei deren Entscheidung 
- und damit bei der Festlegung, wie die- 
se Werte reguliert werden - oder wir er- 
lauben kollektiv den Kodierern, unsere 
Werte für uns auszuwählen. 

Denn Folgendes ist offensichtlich: 
Wenn die Regierung sich zurückhält, 
bedeutet dasnicht, dass nichts an deren 
Stelle tritt. Es ist nicht so, dass private 
Interessen interessenfrei wären, dass 
private Interessen kein Ziel hätten, das 
sie verfolgen. Wenn wir den Antiregu- 
lierungsbutton drücken, beamt uns das 
nicht nach Eden. Wenn die Regierungs- 
interessen verschwunden sind, nehmen 
andere Interessen deren Platz ein. Wis- 
sen wir, welches diese Interessen sind? 
Und sind wir so sicher, dass diese ir- 
gendwie besser wären? 

Als erste Reaktion sollten wir abwar- 
ten. Es ist sinnvoll, zunächst den Markt 
sich entfalten zu lassen. Aber ebenso wie 
die Verfassung die Handlungen des Kon- 
gresses kontrolliert und begrenzt, soll- 
ten die Verfassungswerte die Aktivitäten 


des Marktes kontrollieren und begren- 
zen. Wir sollten sowohl die Gesetze des 
Kongresses wie auch die Produkte des 
Marktes auf diese Werte hin überprüfen. 
Wir sollten die Architektur des digitalen 
Raumes ebenso hinterfragen wie wir dies 
bei den Codizes des Kongresses tun. 

Wenn wir dies nicht tun und wenn wir 
nicht lernen, wie wird dies tun können, 
wird die Relevanz unserer Verfassungs- 
tradition verblassen. Die Bedeutung un- 
seres Bekenntnisses zu grundlegenden 
Werten auf der Grundlage einer selbst- 
bewusst umgesetzten Verfassung wird 
verblassen. Wir werden die Gefahr igqno- 
rieren, die unsere Zeit für die Freiheiten 
und die überkommenen Werte mit sich 
bringt. Das Recht des digitalen Raums 
wird so sein, wie sich der digitale Raum 
kodiert, und wir werden auf unsere Rol- 
le verzichtet haben, dieses Recht selbst 
zu setzen. 

Mit freundlicher Genehmigung des 
Autors. Dieser weitsichtige Text aus dem 
Jahr 2000 findet sich im englischen Ori- 
ginal mit dem Titel „Code is Law - On Li- 
berty in Cyberspace” unter 


http://harvardmagazine.com/2000/ 
01/code-is-law-html. 


Lawrence Lessig ist Professor für Unter- 
nehmensrecht an der Harvard Law School. 
Er ist Autor des Buchs „Code and Other Laws 
of Cyberspace”“ (Basic Books, http://code- 
is-law.org). Die Webseite des Berkman Klein 
Center for Internet and Society ist http:// 
cyber.law.harvard.edu. Die persönliche Web- 
seite von Lawrence Lessig ist http://www. 
lessig.org/about/. 


Die verfassungsrechtliche Dimension der 
Algorithmenkontrolle 


Seit einigen Jahren wird über Algo- 
rithmenkontrolle diskutiert: Welche 
Entscheidungen dürfen unter welchen 
Umständen einem Computer überlassen 
werden und welche Relevanz darf sol- 
chen Computerentscheidungen zukom- 
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men? Wenn der Computer zum Nachteil 
eines Menschen entschieden hat: Wel- 
che Rechtsschutzmöglichkeiten hat der 
Mensch? 

Diese Fragen werden auf den Feuil- 
letonseiten seriöser Tageszeitungen 


umfassend erörtert; in der rechtlichen 
Diskussion sind sie noch nicht so rich- 
tig angekommen. Dies verblüfft, zumal 
Computer schon seit vielen Jahren Ent- 
scheidungen treffen und ansatzweise 
auch gesetzliche Regelungen anwend- 
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bar sind. Dass diese für unsere demo- 
kratische Informationsgesellschaft 
grundlegende Frage bisher allenfalls in 
abseitigen Fachzirkeln diskutiert wird, 
liegt auch am Bundesverfassungsge- 
richt (BVerfG), das zu dieser Frage er- 
staunlicherweise bisher die Aussage 
verweigert hat und damit seine Vor- 
reiterfunktion bei der rechtlichen Be- 
wältigung digitaler Grundrechtsfragen 
nicht wahrnimmt. Mit seinen Entschei- 
dungen zur Volkszählung 1983 und zur 
Online-Durchsuchung 2008 hatte das 
BVerfG die Grundrechte-Tür zur Infor- 
mationsgesellschaft weit aufgestoßen. 
Es wäre dringend, dass sich das BVerfG 
nun auch zu den Fragen der rechtlichen 
Einhegung des Algorithmeneinsatzes 
positioniert. 


Die Gesetzeslage 


Eine schon fast klassisch zu bezeich- 
nende Form einer Algorithmusentschei- 
dung ist das Scoring zum Zweck der 
Bonitätsbewertung. Die Gesetzeslage 
hierzu war und ist weiterhin relativ klar: 
Gemäß 8 6a BDSG-alt waren automa- 
tisierte Einzelentscheidungen auf der 
Grundlage von Persönlichkeitsmerkma- 
len nur zulässig, wenn damit dem Be- 
gehren eines Betroffenen stattgegeben 
wurde oder die Betroffeneninteressen 
durch geeignete Maßnahmen gewahrt 
wurden, wozu mindestens gehörte, dass 
dem Betroffenen der Umstand einer 
automatisierten Entscheidung und auf 
dessen Verlangen dessen wesentliche 
Gründe mitgeteilt und erläutert wer- 
den. Zudem hatte der Betroffene einen 
Anspruch auf Auskunft über „den logi- 
schen Aufbau der automatisierten Ver- 
arbeitung der ihn betreffenden Daten. 
Ergänzt wurde diese Sicherung durch 
die Scoring-Regelung des & 28b BDSG- 
alt, wonach die automatisierte Ent- 
scheidung (Scoreberechnung) „unter 
Zugrundelegung eines wissenschaftlich 
anerkannten mathematisch-statisti- 
schen Verfahrens nachweisbar für die 
Berechnung“ erheblich, die genutz- 
ten Daten rechtmäßig eingeführt wor- 
den und Diskriminierungen wegen der 
Wohnanschrift vermieden sein mussten. 

Mit der neuen europäischen Daten- 
schutz-Grundverordnung (DSGVO) än- 
derte sich an dieser Rechtslage nichts 
Wesentliches: Art. 22 DSGVO erlaubt 
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automatisierte Entscheidungen im 
Einzelfall einschließlich Profiling im 
Privatbereich nur bei „ausdrücklicher 
Einwilligung der betroffenen Person” 
oder bei Erforderlichkeit „für den Ab- 
schluss oder die Erfüllung eines Ver- 
trags zwischen der betroffenen Person 
und dem Verantwortlichen“. Zusätzlich 
wird vom Verantwortlichen gefordert, 
dass er angemessene Maßnahmen trifft, 
„um die Rechte und Freiheiten sowie die 
berechtigten Interessen der betroffenen 
Person zu wahren, wozu mindestens das 
Recht auf Erwirken des Eingreifens einer 
Person seitens des Verantwortlichen, 
auf Darlegung des eigenen Standpunkts 
und auf Anfechtung der Entscheidung 
gehört”. Ergänzt wird diese Regelung 
in Bezug auf Bonitätsauskünfte bzw. 
Scoring im Wirtschaftsverkehr in 8 31 
BDSG-neu, der inhaltlich mit dem alten 
& 28b BDSG übereinstimmt. Unbestrit- 
ten ist zudem nach Art. 15 DSGVO ein 
uneingeschränkter Auskunftsanspruch 
einer Person über die „sie betreffende 
personenbezogene Daten“, wobei in 
Art. 15 Abs. 1 lit. h DSGVO der Anspruch 
erstreckt wird bei „Bestehen einer au- 
tomatisierten Entscheidungsfindung 
einschließlich Profiling” auf „aussage- 
kräftige Informationen über die invol- 
vierte Logik sowie die Tragweite und 
die angestrebten Auswirkungen“ für die 
betroffene Person. 

Man könnte nun meinen, dass alles 
gut geregelt ist: Es besteht Anspruch auf 
Transparenz, auf Darlegung des indivi- 
duellen Standpunktes und auf Rechts- 
schutz für die Betroffenen. Selbst die 
Wissenschaftlichkeit des eingesetzten 
Verfahrens bleibt gesetzlich zugesichert. 
Die Rechtspraxis in Deutschland geht 
aber andere Wege. In einem grundlegen- 
den Urteil hat das oberste deutsche Zivil- 
gericht, der Bundesgerichtshof (BGH), 
am 28.01.2014 entschieden, dass bei 
einer Computerentscheidung zwar die 
einfließenden personenbezogenen Da- 
ten beauskunftet werden müssen. Das 
Computerergebnis müsse aber nicht be- 
gründet werden, etwa durch Mitteilun- 
gen über die für die Computerbewertung 
einbezogenen Vergleichsgruppen und 
über die Bedeutung der für das Ergeb- 
nis ausschlaggebenden Merkmale des 
Betroffenen.' Es sei nicht nötig, dass 
das Zustandekommen der Computerent- 
scheidung plausibel nachvollziehbar ist. 


Die Unternehmen hätten an der Ge- 
heimhaltung der „Score-Formel”, also 
des Algorithmus, ein schutzwürdiges 
Interesse. Alle damit im Zusammenhang 
stehenden „allgemeinen Rechengrö- 
ßen“, „die herangezogenen statisti- 
schen Werte, die Gewichtung einzelner 
Berechnungselemente bei der Ermitt- 
lung eines Wahrscheinlichkeitswerts 
und die Bildung etwaiger Vergleichs- 
gruppen“ unterlägen der Geheimhal- 
tung, da hiervon die Wettbewerbsfähig- 
keit sowie der Marktwert des genutzten 
Produktes bzw. des einsetzenden Unter- 
nehmens abhänge. Der BGH behauptet, 
unter Verweis aufden EuGH’, der Schutz 
der Privatsphäre solle „insbesondere 
durch Auskunft über die Basisdaten des 
Betroffenen Rechnung getragen wer- 
den“, nicht durch „konkrete Elemen- 
te“ einer Computerentscheidung. Das 
Auskunftsrecht dürfe nicht Geschäfts- 
geheimnisse berühren. Die Grenze des 
Zulässigen sei erst überschritten, wenn 
„der betroffenen Person jegliche Aus- 
kunft verweigert wird”.° 

In der vom BGH zitierten EuGH- 
Entscheidung ergeben sich nicht die 
Schlussfolgerungen des BGH. Der EuGH 
hat vielmehr deutlich gemacht, dass das 
Recht auf Schutz der Privatsphäre vor- 
aussetzt, dass sich die betroffene Per- 
son vergewissern kann, dass ihre per- 
sonenbezogenen Daten fehlerfrei ver- 
arbeitet werden und die Verarbeitung 
zulässig ist. Der Betroffene muss „die 
nötigen Nachprüfungen durchführen” 
können.‘ Zwar gesteht auch der BGH zu, 
dem Betroffenen stehe „die schlüssige 
Erkenntnismöglichkeit, welche Fakto- 
ren die ausgewiesene Bewertung beein- 
flusst haben“, zu. Doch erstrecke sich 
dies nicht auf die „Nachrechenbarkeit 
und Überprüfbarkeit der Berechnung“: 
Wie die schlüssige Bewertungskontrolle 
ohne eine Überprüfung der Berechnung 
möglich sein soll, bleibt das Geheimnis 
des BGH. 

In seiner Entscheidung vom 
28.01.2014 nimmt der BGH auf eine 
eigene Entscheidung vom 22.02.2011 
Bezug‘: „Eine darüber hinausgehen- 
de Auskunft würde zudem nicht dazu 
beitragen, die weitergehende Geltend- 
machung von Rechten nach 8 35 BDSG 
(-alt, also von Auskunftsansprüchen, 
T. W.) zu ermöglichen, da sich diese nur 
auf personenbezogene Daten bezie- 


133 


hen. Auf eine Änderung des Scorewerts 
selbst besteht bei Zugrundlegung zu- 
treffender Ausgangstatsachen ohnehin 
kein Anspruch.” 

Der BGH geht also implizit von der in- 
zwischen völlig überholten Ansicht aus, 
dass es sich beim Einsatz von Algorith- 
men nur bei den eingegebenen Daten 
um personenbezogene handeln würde, 
nicht aber bei den Auswertungsergeb- 
nissen, die personenbezogene Konse- 
quenzen für die Betroffenen haben. Die 
Debatte, inwieweit Scores, also Com- 
puterauswertungen, personenbezogen 
sind, wurde Anfang des Jahrtausends 
ausgetragen’; inzwischen mussten 
selbst die Vertreter der Auskunfteiwirt- 
schaft nach der Verabschiedung des 
damals neuen $ 28b im Jahr 2009 ak- 
zeptieren, dass nicht nur die sog. Basis- 
daten, sondern insbesondere die Com- 
puterergebnisse, z. B. die Scores, einen 
Personenbezug haben.® 

Es war also, da grundlegende falsche 
Erwägungen zum Datenschutz ange- 
stellt worden sind, sachgerecht, dass 
gegen die BGH-Entscheidung im Ap- 
ril 2014 beim BVerfG Verfassungsbe- 
schwerde eingelegt wurde.’ Diese hätte 
die Möglichkeit eröffnet, Grundlegen- 
des zur Verfassungsgemäßheit nicht 
nur von Scoreberechnungen und deren 
-verwendung, sondern zur personen- 
beziehbaren Nutzung von Algorithmen 
generell auszuführen. Diese Hoffnung 
war vergeblich: Das Verfassungsbe- 
schwerdeverfahren 1 BvR 756/14 wur- 
de mit Nichtannahmebeschluss vom 
29.05.2017 ohne weitere inhaltliche 
Begründung abgeschlossen. Inzwi- 
schen lagen dem BVerfG einige weitere 
Verfassungsbeschwerden gegen Ge- 
richtsentscheidungen vor, in denen den 
Betroffenen bei der Berechnung von 
Scores bzw. beim Einsatz von Algorith- 
men ihr Grundrecht auf Datenschutz 
vorenthalten wurde. Soweit erkennbar, 
wurden all diese Beschwerden ohne wei- 
tere Begründung durch Nichtannahme 
abgewiesen. 


Verfassungsrechtliche Bewertung 


Das Grundrecht auf informationelle 
Selbstbestimmung” hat als Grundrecht 
auf Datenschutz in Art. 8 GRCh nicht nur 
europaweit eine normative Bestätigung 
gefunden, sondern ist zu einer prägen- 
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den verfassungsrechtlichen Säule unse- 
rer demokratischen Informationsgesell- 
schaft geworden, die in der Rechtspre- 
chung des BVerfG wie auch des EuGH in 
vieler Hinsicht weiterentwickelt wurde. 
Schon Art. 8 Abs. 2 S. 2 GRCh präzisiert 
das Grundrecht über die Betroffenen- 
rechte wie folgt: „Jeder Mensch hat das 
Recht, Auskunft über die ihn betreffen- 
den erhobenen Daten zu erhalten und die 
Berichtigung der Daten zu bewirken.” 

Das Grundrecht auf Datenschutz gilt 
nicht bedingungslos, es kann einge- 
schränkt werden, wenn kollidierendes 
Verfassungsrecht dies nötig macht. Be- 
triebs- und Geschäftsgeheimnisse wer- 
den durch das Grundrecht auf Eigentum 
(Art. 14 GG, Art. 17 GRCh) geschützt. In 
Art. 16 GRCh erfolgt eine weitere Kon- 
kretisierung durch die Anerkennung 
der „unternehmerischen Freiheit”. Doch 
auch diese wirtschaftlichen Grundrech- 
te sind nicht schrankenlos und müssen 
mit dem sonstigen Verfassungsrecht, 
zu dem das Grundrecht auf Datenschutz 
gehört, in praktische Konkordanz ge- 
bracht werden. 

Zur unternehmerischen Freiheit und 
damit zum Betriebs- und Geschäftsge- 
heimnis kann es nicht gehören, dass 
falsche, diskriminierende oder sonst- 
wie gegen das Datenschutzrecht ver- 
stoßende Daten verwendet werden. 
Darauf wird in 8 31 Abs. 1 Nr. 1 BDSG 
ausdrücklich hingewiesen, wonach bei 
Scoringverfahren gefordert wird, dass 
„die Vorschriften des Datenschutzrechts 
eingehalten wurden“. Es kann nicht im 
berechtigten Interesse eines Unterneh- 
mens liegen, mit falschen oder sonstwie 
unzulässigen Daten Entscheidungen zu 
treffen und damit Geschäfte zu machen. 

Hinzu kommt, dass sich die individu- 
ellen Ansprüche eines Betroffenen auf 
die Basisdaten, die Logik des Verfahrens 
und die Computerergebnisse nur soweit 
beziehen, wie diese einen individuellen 
Bezug haben. Das Transparenzerfor- 
dernis erstreckt sich also nicht auf das 
informationstechnische Gesamtsystem, 
sondern beschränkt sich auf die Sys- 
temteile, mit denen eine Veränderung 
der Daten des Betroffenen erfolgt. Diese 
haben, da sie sich nur auf eine indivi- 
duelle Person beziehen, keine wesent- 
liche Marktrelevanz und können nicht 
als Betriebs- und Geschäftsgeheimnis- 
se betrachtet werden. Soweit darauf 


übergreifende Erkenntnisse zu einem 
Algorithmus abgeleitet werden kön- 
nen, kann eine Interessenabwägung 
durchgeführt werden. In der Regel hat 
ein Betroffener kein Interesse an die- 
sen übergreifenden Informationen, also 
etwa dem Quell-Code. Vielmehr ist die- 
ser persönlichkeitsrechtlich nur daran 
interessiert zu erfahren, was der Algo- 
rithmus aus seinen Daten und damit mit 
ihm macht. 

Mit dem Einsatz des Algorithmus er- 
folgt eine Veränderung von personen- 
bezogenen Daten. Durch diese Verän- 
derung können schutzwürdige Betrof- 
feneninteressen verletzt werden. Dies 
geschieht nicht nur dadurch, dass fal- 
sche Basisdaten in die Auswertung ein- 
geführt werden. Die Betroffeneninteres- 
senkönnen auch verletzt werden, indem 
der Algorithmus, also der Programm- 
code, auf einer korrekten Datenbasis 
ein persönlichkeitsverletzendes Ergeb- 
nis auswirft. So besteht ein in Scoring- 
verfahren weit verbreiteter Programm- 
fehler darin, dass die Wertberechnung 
auf einer unzureichenden Datenbasis 
erfolgt. Dies kann z. B. dazu führen, 
dass die Wohnadresse ausschlaggebend 
für Scoreberechnung wird, was gegen 
& 31 Abs. 1Nr. 3 BDSG verstößt.'! Fehler 
im Programmcode können zu falschen 
Daten führen, bzgl. deren beim Betrof- 
fenen ein Berichtigungsanspruch nach 
Art. 16 DSGVO besteht. 

Für die Notwendigkeit einer Ab- 
schichtung von Geheimhaltungsinte- 
ressen eines Verantwortlichen wegen 
einer Auskunftspflicht im öffentlichen 
Interesse oder privaten Interesse eines 
Dritten spricht 8 3 5. 5 Nr. 1-3 Verbrau- 
cherinformationsgesetz (VIG), wonach 
dem Verbraucher der Zugang zu be- 
stimmten Informationen nicht mit dem 
Hinweis auf Betriebs- und Geschäftsge- 
heimnisse verweigern kann. Während 
hier die Gesundheit und Sicherheit des 
Verbrauchers das Abwägungskriterium 
ist, ist die Auskunft über Computerent- 
scheidungen persönlichkeitsrechtlich 
begründet. 


Meinungsfreiheit durch Werturteile? 
Der BGH sieht dies anders, wenn er 
erklärt, es handele sich bei dem Re- 


chenergebnis um ein Werturteil, bzgl. 
dessen kein Berichtigungsanspruch 
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bestünde.'? Dabei muss er sich aber auf 
die Meinungsfreiheit nach Art. 5 GGund 
Art. 11 Abs. 1GRChberufen. Tatsächlich 
zieht der BGH diese Schlussfolgerung’°, 
die letztlich darauf hinausläuft, dass 
einem Computer bzw. dem Algorithmus 
ein Recht auf Meinungsfreiheit zuge- 
standen wird.'* Eine Computerbewer- 
tung wie das Scoring wird als eine auf 
Tatsachendaten beruhende subjektive 
Wertung angesehen. 

Originäre Grundrechtsträger der 
Meinungsfreiheit sind natürliche Per- 
sonen.'® Dieses Grundrecht gehört zu 
denen, die ihrem Wesen nach aber auch 
aufinländische juristische Personen an- 
wendbar sind (Art. 19 Abs. 3 GG).' Die- 
sen juristischen Personen in Deutsch- 
land sind Vereinigungen aus anderen 
EU-Mitgliedstaaten gleichgestellt.'’ 
Notwendig bleibt, dass eine natürliche 
Person oder ein Gremium von natürliche 
Personen ihre Meinung für die juristi- 
sche Person äußert. Nicht erfasst sind 
Ergebnisse von vollständig automati- 
siert ablaufenden Prozessen. 

Zielrichtung des Grundrechtsschutzes 
ist die Persönlichkeitsentfaltung der 
sich Äußernden und seine „schlechthin 
konstituierende Bedeutung” für den 
öffentlichen Meinungsbildungsprozess 
und damit seine Notwendigkeit für die 
freiheitliche Demokratie.”” Maschinen 
selbst kann keine Grundrechtsträger- 
schaft zugewiesen werden, selbst wenn 
für diese, wie bei der „künstlichen Intel- 
ligenz“, das Adjektiv „intelligent“ ver- 
wendet wird. Informations- und Kom- 
munikationstechniken (IuK-Techniken) 
können allenfalls Meinung vermitteln, 
nicht aber eigenständig generieren. 

Es bleibt die Frage, ob eine automa- 
tisiert generierte „Meinung“ dadurch 
Grundrechtsschutz erlangt, dass der Be- 
treiber des Systems anhand allgemeiner 
Kriterien Festlegungen vorgenommen 
hat, mit denen eingehende Daten ver- 
arbeitet und zu einem Ergebnis zusam- 
mengeführt werden. Eine Zurechnung 
kann dann angenommen werden, wenn 
der Verantwortliche über den Verarbei- 
tungsprozess wie das Verarbeitungs- 
ergebnis die Kontrolle hat.'? Für diese 
Kontrolle über das Verarbeitungsverfah- 
ren kann es aber nicht genügen, dass es 
der Wille des Verantwortlichen ist, das 
Computerergebnis darzustellen und den 
Rechenablauf zu steuern. ?® 
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Wie bei rechtsgeschäftlichen Erklä- 
rungen muss bei einer Meinungsäuße- 
rung ein willentlicher Akt einer Person 
oder von Personen stehen. Allein eine 
Programmierung eines Algorithmus 
kann nicht genügen. So fehlt es denklo- 
gisch schon dann an einer gewollten Er- 
klärung, wenn der Dateninput vom Ver- 
antwortlichen nicht gezielt gesteuert 
werden kann. Erst Recht gilt dies beim 
Einsatz sog. künstlicher Intelligenz, bei 
der der eingehende Dateninput zu Pro- 
grammänderungen führt, die Einfluss 
auf den Output, also das Ergebnis des 
Rechenvorgangs haben. Selbst wenn 
man - entgegen der hier vertretenen 
Meinung - kontrollierten Computerer- 
gebnissen eines Systembetreibers eine 
diesem zuzurechnende Meinung attes- 
tieren würde, kann und darf diese für 
die demokratische Meinungsbildung 
nicht als relevant anerkannt werden. 

Der Schutz der Meinungsfreiheit zielt 
auf den Inhalt der Meinung ab. Dieser 
kann sich auch auf den wirtschaftli- 
chen Wettbewerb und eine kommer- 
ziele Meinungsäußerung beziehen. 
Nicht geschützt sind insofern aber reine 
kommerzielle Verwertungsaktionen von 
Daten oder geäußerten Meinungen. In- 
sofern können lediglich die wirtschaft- 
lichen und Unternehmensrechte nach 
Art. 12, 14 GG bzw. Art. 15-17 GRCh gel- 
tend gemacht werden.?' 


Datenrichtigkeit 


Im Datenschutzrecht gilt der auch 
aus Art. 8 Abs. 2 S. 2 GRCh abzuleiten- 
de Grundsatz der Datenrichtigkeit. Der 
hierzu bestehende Anspruch auf Daten- 
korrektur ergibt sich aus Art. 16 DSGVO. 
Gemäß Art. 5 Abs. 1 lit. d DSGVO ha- 
ben personenbezogene Daten generell 
„sachlich richtig und erforderlichen- 
falls auf dem neuesten Stand” zu sein.” 
Es sind „angemessene Maßnahmen zu 
treffen, damit personenbezogene Da- 
ten, dieim Hinblick auf die Zwecke ihrer 
Verarbeitung unrichtig sind, unverzüg- 
lich gelöscht oder berichtigt werden“. 
Die Regelung deutet darauf hin, dass es 
keine objektive Richtigkeit gibt, son- 
dern dass diese im Zusammenhang mit 
dem jeweils verfolgten Zweck gesehen 
werden muss. 

Beim Zusammenführen von Daten für 
Computerentscheidungen müssen die 


jeweiligen Kontexte und Erhebungszwe- 
cke berücksichtigt werden, um keine 
falschen Ergebnisse zu erlangen. Diese 
Umstände sind oft selbst nicht digital 
erfasst und müssen daher für valide 
Analysen digital ergänzt werden. Wegen 
der hohen Komplexität der Sachverhalte 
und der gegenseitigen Abhängigkeiten 
können ohne eine solche Kontextua- 
lisierung Algorithmen zu objektiv fal- 
schen Ergebnissen führen.” 

Für die Richtigkeit der per Algorith- 
mus errechneten Ergebnisse spielt ne- 
ben der Datenqualität, also der Richtig- 
keit der eingeführten Einzeldaten, auch 
deren Repräsentativität eine zentrale 
Rolle. Werden Ergebnisse einzelnen Per- 
sonen zugeordnet, so hat die Repräsen- 
tativität nicht nur eine wissenschaftli- 
che, sondern in Bezug auf die Richtig- 
keit auch eine datenschutzrechtliche 
Relevanz. Für die Repräsentativität 
eines Ergebnisses kommt es wesentlich 
auf die Vergleichsgruppe an, deren Da- 
ten zur Grundlage für die Bewertung 
herangezogen werden. Werden z. B. für 
eine Bonitätsbewertung als Vergleichs- 
gruppe Personen mit ausschließlich 
geringen Risiken herangezogen, so be- 
rechnet ein Algorithmus zu einer Person 
mit einem gering höheren, aber immer 
noch sehr geringen Risiko zwangsläufig 
eine schlechte Bonität. Der Ausschluss 
der Auskunftspflicht auf die Vergleichs- 
gruppe durch den BGH ignorierte deren 
Relevanz für die Richtigkeit des Algo- 
rithmenergebnisses und damit für den 
Datenschutz der Betroffenen. 

Für die Richtigkeit einer Computer- 
berechnung ist es weiterhin relevant, 
welche Relevanz der Algorithmus einem 
Merkmal beimisst. Dies wurde im Hin- 
blick auf die Wohnadresse ausdrücklich 
vom Gesetzgeber klargestellt, als er be- 
stimmte, dass die Wohnadresse nicht 
allein für eine Bonitätsbewertung aus- 
schlaggebend sein darf (8 31 Abs. 1Nr. 4 
BDSG). Wird ein irrelevantes Merkmal 
von einem Algorithmus als ausschlag- 
gebend eingestuft, so ist dies nicht 
eine subjektive Bewertung des Compu- 
ters bzw. des Programmierers, sondern 
schlicht objektiv falsch. 


Demokratie- und Rechtsstaatsprinzip 


Angesichts des Umstands, dass Com- 
puterentscheidungen in immer stärke- 
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rem Maße aufdemokratische Meinungs- 
bildungsprozesse Einflussnehmen, etwa 
durch von Bots produzierte Meldungen, 
welche die freie menschliche Meinungs- 
bildung beeinträchtigen, kann und darf 
auch durch natürliche und vor allem 
juristische Personen initiierten Com- 
puterentscheidungen kein Meinungs- 
schutz zugesprochen werden. ”* 

Gemäß Art. 20 Abs. 1 GG ist die Bun- 
desrepublik Deutschland ein demokrati- 
scher und sozialer Bundesstaat. Gemäß 
Art. 2EUVsind die Werte, aufdenen sich 
die Union gründet, „die Achtung der 
Menschenwürde, Freiheit, Demokratie, 
Gleichheit, Rechtsstaatlichkeit und die 
Wahrung der Menschenrechte. Als Kon- 
kretisierung der genannten Prinzipien 
werden in Art. 2 EUV „Pluralismus, To- 
leranz, Gerechtigkeit, Solidarität und 
Nichtdiskriminierung“ genannt. Haben 
komplexe Algorithmen Auswirkungen 
auf diese demokratischen Werte, so 
kann dies staatliche Interventionen 
rechtfertigen. 

Betroffene haben einen Justizgewähr- 
leistungsanspruch nach Art. 19 Abs. 4, 
20 Abs. 3 GG bzw. Art. 47 GRCh. Erfolgt 
durch die Computerentscheidung eine 
Persönlichkeitsverletzung, so muss 
der Betroffene die Möglichkeit haben, 
diese vor Gericht geltend zu machen. 
Voraussetzung dieser Geltendmachung 
ist, dass er und letztlich das Gericht das 
berechnete Ergebnis überprüfen, d. h. 
dass die Unrichtigkeit eines Computer- 
ergebnisses nachweisen kann. 

Lawrence Lessig hat schon in seinem 
Aufsatz „Code ist Law“ aus dem Jahr 
2000 darauf hingewiesen, dass mit zu- 
nehmender Digitalisierung rechnerge- 
stützte Vorgaben immer mehr die Regeln 
unseres gesellschaftlichen Zusammenle- 
bens bestimmen und damit die Wahrneh- 
mung unserer Freiheitsrechte einschrän- 
ken, ohne dass hierüber bewusste politi- 
sche, geschweige denn transparente und 
mehrheitlich getroffene Entscheidungen 
zugrunde liegen.” Das Ergebnis sind 
„unkontrollierbare” und „unverantwort- 
liche” Entscheidungen mit evtl. hoher 
gesellschaftlicher oder andere Menschen 
betreffender Relevanz. 

Insbesondere beim Einsatz von Big 
Data und sog. Künstlicher Intelligenz 
entsteht ein Transparenz-, Kontroll- 
und Entscheidungsproblem: Basiert 
eine automatisiert vorbereitete oder 
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getroffene Entscheidung nicht auf einer 
nachvollziehbaren „Wenn-dann-Daten- 
auswertung”, sondern auf einem digital 
generierten komplexen Algorithmus, so 
kann dies dazu führen, dass die Gründe 
für diese Entscheidung nicht mehr nach- 
vollzogen und kontrolliert werden kön- 
nen. Selbstlernende Algorithmen lassen 
sich nicht mehr hinreichend protokol- 
lieren bzw. dokumentieren. Selbst im 
Fall einer nachvollziehbaren Protokol- 
lierung kann oft keine einem Menschen 
oder einer Institution zuordenbare 
(rechtliche) Verantwortlichkeit begrün- 
det werden. Die Verantwortlichkeit für 
die Programmierung sog. künstlicher 
Intelligenz begründet im bestehenden 
Rechtsregime nicht zwangsläufig die 
(rechtliche) Verantwortlichkeit für eine 
auf dieser Grundlage getroffene (recht- 
lich relevante) Entscheidung. Selbst für 
den Fall einer theoretisch begründbaren 
Haftung des Programmierers bleibt das 
praktische Problem bestehen, dass we- 
gen der Arbeitsteilung bei einer komple- 
xen Programmcode-Generierung eine 
Verantwortungszuordnung in der Praxis 
oft nicht möglich ist. 

Diese Defizite wirken sich direkt auf 
die gerichtliche Kontrolle durch die 
Justiz (Art. 19 Abs. 4 GG, Art. 47 GRCh) 
sowie die demokratische Kontrolle 
durch Parlamente aus (Art. 20 Abs. 1, 
2 GG). Richter wie Parlamentarier wer- 
den mit technisch geschaffenen Fakten 
konfrontiert, deren Wirkzusammen- 
hänge von ihnen nicht nachvollzogen, 
geschweige denn verstanden werden 
können. Die generierten Fakten sind 
mit dem Nimbus der digitalen Objektivi- 
tät und Wissenschaftlichkeit behaftet. 
Diese normative Kraft des Faktischen 
entsteht aber nicht naturwüchsig oder 
zufällig. Sie wird bestimmt durch dieje- 
nigen, in deren Interesse die Algorith- 
men entwickelt und eingesetzt werden, 
die dann mehr oder weniger freiwillig 
und unreflektiert von Verwaltung, Wirt- 
schaft und Menschen genutzt werden. 
Ergebnis ist die Beeinträchtigung der 
verfassungsrechtlich gewährleisteten 
Prinzipien von Rechtsstaatlichkeit und 
Demokratie. 


Diskriminierungsverbote 


Das deutsche wie auch das europäi- 
sche Verfassungsrecht enthält spezifi- 


sche Diskriminierungsverbote: Art. 3 
Abs. 3 GG verbietet die Benachteiligung 
oder Bevorzugung „wegen seines Ge- 
schlechts, seiner Abstammung, seiner 
Rasse, seiner Sprache, seiner Heimat 
und Herkunft, seines Glaubens, seiner 
religiösen oder politischen Anschauun- 
gen“. Art. 21 GRCh konkretisiert und 
erweitert dies durch zusätzliche Benen- 
nung folgender, die Diskriminierung 
verbietender Merkmale: Hautfarbe, 
ethnische oder soziale Herkunft, gene- 
tische Merkmale, Weltanschauung, Zu- 
gehörigkeit zu einer nationalen Minder- 
heit, Vermögen, Geburt, Behinderung, 
Alter und sexuelle Ausrichtung.” 

Diese Diskriminierungsverbote ha- 
ben im Hinblick auf Algorithmenent- 
scheidungen eine zweifache Relevanz: 
einerseits verbieten sie grundsätzlich 
die Nutzung der genannten Merkmale 
als einfließende Bewertungsmerkmale, 
soweit damit eine nicht gerechtfertigte 
Wirkung (Bevorzugung wie Benach- 
teiligung) gegenüber den Betroffenen 
verbunden ist. D. h. rein erkenntnissu- 
chende Analysen werden durch die Dis- 
kriminierungsverbote nicht untersagt. 
Zu beachten ist aber, dass die Grenzen 
zwischen Erkenntnis und daraus re- 
sultierender Diskriminierung abstrakt 
nicht eindeutig bestimmbar sind. Eine 
Einzelfallbewertung ist nötig. Diskri- 
minierung erfolgt durch Algorithmen 
dadurch schnell, dass diese nicht zwi- 
schen Korrelation und Kausalität unter- 
scheiden können.?’ Schwer bestimmbar 
sind die Grenzen zwischen legitimer 
Differenzierung und unzulässiger Dis- 
kriminierung. Besteht eine Diskriminie- 
rungsabsicht, so ist diese in jedem Fall 
verboten. Besteht aber ein begründeter 
Sachzusammenhang, so kann sich hie- 
raus eine Rechtfertigung ergeben. Dies 
gilt insbesondere, wenn die Differenzie- 
rung eine rechtliche Grundlage hat.” 

Eine verfassungsrechtlich verbotene 
Diskriminierung kann sich auch daraus 
ergeben, dass nicht die in die Datenaus- 
wertung einfließenden, wohl aber die 
Ergebnisse eine nicht gerechtfertigte 
Differenzierung zur Folge haben. Ein 
äußerlich objektiver Algorithmus kann 
zu einer objektiven Benachteiligung 
wegen eines der genannten Diskrimi- 
nierungsmerkmale führen.?”” Derartige 
Wirkungen werden beispielsweise bei 
Internetauswertungen’® oder bei gene- 
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tischen Untersuchungen immer wieder 
dokumentiert.?! 


Algorithmenkontrolle 


Aus den obigen Ausführungen ergibt 
sich, dass Algorithmenkontrolle nicht 
nur zulässig, sondern verfassungsrecht- 
lich geboten sein kann. Dies gilt ins- 
besondere bei Konstellationen, wo ein 
starkes Ungleichgewicht zwischen dem 
den Algorithmus einsetzenden Unter- 
nehmen und den Betroffenen besteht. 
Die staatliche Schutzpflicht gebietet, 
die Voraussetzungen eines wirkungs- 
vollen informationellen Selbstschutzes 
für die Betroffenen sowie grundrechts- 
sichernde Prozesse bereitzustellen. Dies 
gilt insbesondere dann, wenn private 
Stellen ein solches ökonomisches, tech- 
nisches oder organisatorisches Gewicht 
haben, dass sie die informationellen 
Vorgänge zu Personen (Betroffenen) 
faktisch einseitig bestimmen können.” 

Für Algorithmenkontrollen gibt es 
bisher keine direkten Erfahrungen. 
Prozedural bestehen unterschiedliche 
Möglichkeiten zur Gewährleistung der 
Verfassungskonformität von im Alltag 
eingesetzten Algorithmen.” Im Fol- 
genden soll ein Vorschlag präzisiert 
werden, der an einem normativ vor- 
gegeben Verfahren ansetzt, für das es 
bisher aber noch keine bzw. nur wenig 
praktische Umsetzungen gibt: die Zer- 
tifizierung nach Art. 42 DSGVO. Dieses 
Verfahren muss sich nicht auf den Nach- 
weis einer Datenschutzkonformität im 
engeren Sinne beschränken, sondern 
kann gemäß Art. 1 Abs. 2 DSGVO umfas- 
send den Schutz der „Grundrechte und 
Grundfreiheiten natürlicher Personen” 
einschließlich deren gesellschaftlicher 
Funktion umfassen.°* 

Deutschland steht es offen, auf der 
Grundlage von Art. 42 DSGVO ein Zer- 
tifizierungsverfahren zu etablieren, bei 
dem die Einhaltung der verfassungs- 
rechtlichen Anforderungen an den 
Einsatz von Algorithmen geprüft und 
bestätigt wird. In einem ersten Schritt 
sollten Kriterien erarbeitet werden, 
nach denen derartige Zertifizierungen 
durchgeführt werden. Dies kann durch 
die Datenschutzaufsichtsbehörden er- 
folgen (Art. 42 Abs. 5 DSGVO). Dabei 
sollten schon in einem frühen Stadium 
Differenzierungen nach den jeweili- 
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gen Einsatzbereichen vorgesehen wer- 
den. Der Einsatz von Algorithmen im 
Gesundheitsbereich ist nach anderen 
Maßstäben zu bewerten als z. B. in der 
Werbebranche. 

In einem ersten Schritt mag es zur 
Sammeln von Erfahrungen sinnvoll 
sein, die Zertifizierungen auf einer frei- 
willigen Basis anzubieten (Art. 42 Abs. 
3 DSGVO). Es ist aber nicht ausgeschlos- 
sen, dass für spezifische Zwecke und 
Gefahrenlagen auf zusätzlicher gesetzli- 
cher Basis obligatorische Zertifizierun- 
gen vorgesehen werden.°° 

Es ist an der Zeit, dass der Schritt von 
der Diskussion über die Notwendigkeit 
von Algorithmenkontrolle zur tatsäch- 
lichen Erprobung von Verfahren und 
dann zur normativen Festlegung gegan- 
gen wird. Dies ist primär die Aufgabe der 
Politik, insbesondere dann, wenn sich 
wie hier die Rechtsprechung scheut, 
Festlegungen aus der Verfassung abzu- 
leiten. Angeknüpft werden kann und 
sollte hier bei der Datenschutzaufsicht, 
wo juristische und technische Kompe- 
tenz sowie die Aufgabe des digitalen 
Grundrechtsschutzes zusammengeführt 
werden.’ Umfassender als bei der allge- 
meinen Datenschutzkontrolle sind bei 
der Algorithmenkontrolle ein Monito- 
ring und ein dauerndes Risikomanage- 
ment möglich und auch nötig.” Dabei 
ist nicht nur automatisierte, sondern 
immer auch menschliche Supervision 
gefordert.” Die dafür zuständigen Auf- 
sichtsbehörden müssen hierzu aber mit 
den nötigen Ressourcen ausgestattet 
werden. Wünschenswert wären europä- 
ische Projekte, Erfahrungen und Vorga- 
ben. Solange diese ausstehen, muss und 
kann ein Staat wie Deutschland, der 
sich der Digitalisierung der Gesellschaft 
verschrieben hat, voraus gehen. 
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Algorithmenbasierte Entscheidungsprozesse und 


Verbraucherschutz 


Algorithmen haben schon heute gro- 
ßen Einfluss auf unser Leben und un- 
seren Alltag. Sie sind keine Zukunfts- 
musik, sie sind Realität - nicht nur bei 
Google, Facebook und Co. Verbraucher 
kommen zum Beispiel damit in Berüh- 
rung, wenn sie einen Kredit beantra- 
gen. Der Algorithmus berechnet dann 
die Wahrscheinlichkeit des finanziellen 
Ausfalls - und entscheidet damit, ob der 
Verbraucher’ einen Kredit bekommt und 
zu welchen Konditionen. Auch in der 
Finanzanlageberatung können Algo- 
rithmen zum Einsatz kommen. Manche 
Fintechs bieten Kunden in Deutschland 
an, ihr Vermögen algorithmenbasiert zu 
verwalten. Auch einige Krankenzusatz- 
versicherungen, Online-Händler sowie 
Softwarehersteller beim autonomen 
Fahren setzen auf algorithmenbasierte 
Entscheidungsprozesse. 

Im Zentrum der aktuellen Debatte 
stehen algorithmenbasierte Entschei- 
dungsprozesse (Algorithmic Decision 
Making, im Folgenden ADM-Prozesse)?, 
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die auf der Grundlage von Big Data er- 
folgen können. Sie sind von besonde- 
rem Interesse, da die Zahl der betroffe- 
nen Verbraucher potenziell sehr hoch 
sein kann; oft bei mangelnder Transpa- 
renz über die jeweiligen ADM-Prozesse. 
Es ist davon auszugehen, dass diese 
Prozesse zunehmend entscheiden- 
den Einfluss auf Fragen der Lebensge- 
staltung, auf Teilhabemöglichkeiten, 
Konsumentscheidungen und Autono- 
mie jedes Einzelnen sowie auf die Ge- 
sellschaft insgesamt haben werden. 

Der Verbraucherschutz muss diese Ent- 
wicklung positiv begleiten, aber auch 
auf Risiken hinweisen. Die Chancen von 
ADM-Prozessen liegen beispielsweise 
darin, dass die Teilhabe erhöht werden 
kann, wenn Verbraucher einen breiten 
Zugang zu personalisierten Angeboten 
und Diensten erhalten, die bisher aus 
Kostengründen nur wenigen zur Verfü- 
gung standen’. Auch die Konsistenz von 
Entscheidungen kann verbessert werden, 
da bei ADM-Prozessen immer nach den 


gleichen Vorgaben aufgrund festgelegter 
Kriterien entschieden wird. Menschliche 
Fehler durch verzerrte Wahrnehmung 
und persönliche Präferenzen können so 
gegebenenfalls reduziert werden‘. Die 
Risiken können unter anderem Sicher- 
heitsrisiken, Gefährdung der Privatsphä- 
re, Steigerung der Informationsasym- 
metrie zwischen Verbrauchern und Un- 
ternehmen, eingeschränkte materielle 
und soziale Teilhabe von Individuen und 
Gruppen (z. B. Diskriminierung), Mani- 
pulation beziehungsweise unbewusste 
Beeinflussung individueller Entschei- 
dungen sowie die Aushebelung des Wett- 
bewerbs umfassen. 

Wo sich Risiken abzeichnen, muss 
die Politik diese durch kluge Maßnah- 
men minimieren. Ziel muss es sein, 
dass auch in einer Welt selbstlernender 
Algorithmen rechtliche Rahmenbedin- 
gungen eingehalten werden und die 
Entscheidungssouveränität sowie die 
informationelle Selbstbestimmung von 
Verbrauchern gewährleistet sind. Das 
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ist nur möglich, wenn ADM-Prozesse 
durch Menschen kontrollierbar sind und 
bleiben. 

Diese Ziele können jedoch kaum er- 
reicht werden, solange ADM-Prozesse ein 
hohes Maß an Intransparenz aufweisen. 

Wichtig ist, dass alle verstehen: Al- 
gorithmen fallen nicht vom Himmel. 
Menschen mit individuellen Wertevor- 
stellungen und unterschiedlichen In- 
teressen programmieren sie. Das alles 
passiert jeden Tag, ohne dass wir über 
Transparenz, Diskriminierungsschutz, 
Überprüfbarkeit, Kontrolle und Kor- 
rigierbarkeit der Verfahren sprechen. 
Viele Unternehmen verweigern es, ei- 
nen Einblick darüber zu geben, auf wel- 
che Weise Entscheidungen zustande 
kommen - oftmals mit Verweis auf ihre 
Geschäftsgeheimnisse. Diese Intranspa- 
renz führt zu einer problematischen Wis- 
sensasymmetrie zwischen Verbrauchern 
und Unternehmen. Dadurch steigt das 
Risiko, dass Verbraucher diskriminiert 
und manipuliert werden. 

Deshalb brauchen wir ein geeignetes, 
staatlich legitimiertes Kontrollsystem, 
welches sich durch Vielschichtigkeit 
auszeichnet und nicht aus einer ein- 
zigen Institution besteht. Es könnte 
mehrere Elemente umfassen, deren 
Zusammenwirkung eine angemessene 
Kontrolle sicherstellen kann. Elemente 
eines solchen Kontrollsystems könnten 
beispielsweise ein betrieblicher Algo- 
rithmenbeauftragter (in Anlehnung an 
die Datenschutzbeauftragten), der die 
Einhaltung von Qualitätsstandards ge- 
währleistet, ein erweitertes Informa- 
tionsfreiheitsgesetz, staatliche Stellen 
wie etwa die Bundesanstalt für Finanz- 
dienstleistungsaufsicht (BaFin?) oder 
Vereine, die aufgrund einer staatlichen 
Beauftragung arbeiten (TÜV), sein. 
Hierdurch soll es möglich sein, relevan- 
te ADM-Prozesse hinsichtlich Rechts- 
konformität (beispielsweise Diskrimi- 
nierungsverbot, Lauterkeitsrecht und 


Jetzt DVD-Mitglied werden: 


Datenschutzrecht), Sachgerechtheit 
der Anwendung sowie individueller und 
gesellschaftlicher Auswirkungen einzu- 
sehen und zu überprüfen. 

Das verbreitete Misstrauen von Ver- 
brauchern gegenüber ADM-Prozessen 
und der gleichzeitige Wunsch nach 
größerer Transparenz dieser Systeme 
und deren unabhängige Kontrolle‘ legt 
den Schluss nahe, dass die Etablierung 
eines effektiven Kontrollsystems eine 
maßgebliche Voraussetzung für die 
Schaffung von Vertrauen und breite Ak- 
zeptanz von ADM-Prozessen ist - und 
somit für die Realisierung der Chancen, 
die diese bieten. 

Darüber hinaus brauchen wir drin- 
gend eine Debatte, wie wir mit den ge- 
sellschaftlichen und ethischen Folgen 
von ADM-Prozessen umgehen wollen, 
etwa dem Risiko eines fortschreitenden 
Verlusts menschlicher Autonomie. Er- 
gebnis einer solchen Debatte könnten 
beispielsweise Prinzipien eines Ethik- 
by-Design sein, nach denen Ersteller 
von ADM-Prozessen rechtliche und ethi- 
sche Grundsätze schon bei der Program- 
mierung und beim ADM-Design berück- 
sichtigen müssen. Die Bundesregierung 
muss diese Debatte antreiben und im 
Rahmen der Datenethikkommission Lö- 
sungsvorschläge anbieten. 


1 Die gewählte männliche Form bezieht 
sich immer zugleich auf weibliche und 
männliche Personen. Wir bitten um Ver- 
ständnis für den weitgehenden Verzicht 
auf Doppelbezeichnungen zugunsten 
einer besseren Lesbarkeit des Textes. 


2 Einalgorithmenbasierter Entscheidungs- 
prozess umfasst weitaus mehr als den 
reinen Programmcode oder Algorithmus: 
„Algorithmische Entscheidungsfindung 
bezeichnet den Gesamtprozess von der 
Datenerfassung über die Datenanalyse 
bis hin zur Deutung und Interpretation 
der Ergebnisse und der Ableitung einer 
Entscheidung oder einer Entscheidungs- 
empfehlung aus den Ergebnissen”. Vgl. 
Vieth, Kilian; Wagner, Ben: Teilhabe, 
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ausgerechnet, 2017, Arbeitspapier im 
Auftrag der Bertelsmann Stiftung, S. 10, 
https://www.bertelsmann-stiftung.de/ 
de/publikationen/publikation/did/ 
teilhabe-ausgerechnet, 21.09.2017 


Wenn beispielsweise Algorithmen zum 
Portfoliomanagement von Geldanlagen 
eingesetzt werden, können diese bereits 
Vermögen ab 5000 Euro profitabel mana- 
gen, was bei menschlichen Portfolioma- 
nagern für die Finanzdienstleister nicht 
rentabel wäre. Vgl. Frankfurter Allge- 
meine Zeitung: Wenn der Algorithmus 
das Vermögen verwaltet, 17.08.2016, 
http://www.faz.net/aktuell/finanzen/ 
fonds-mehr/automatisierte- 
finanzberatung-wenn-der-algorithmus- 
das-vermoegen-verwaltet-14384953. 
html, 03.10.2017 


Zu Heuristiken und verzerrten Entschei- 
dungen in Gerichtsverfahren vgl. Peer, 
Eyal; Gamliel, Eyal: Heuristics and Bias 
in Judicial Decisions, Court Review, Vol. 
49, 114-118, http://aja.ncsc.dni.us/ 
publications/courtrv/cr49-2/CR49- 
2Peer.pdf, aufgerufen am 05.12.2017. 
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Bewerbungsprozess zu reduzieren. Vgl. 
Lechtleitner, Sven: Wenn der Algorith- 
mus entscheidet, 04.09.2017, https:// 
www.humanresourcesmanager.de/news/ 
wenn-der-algorithmus-entscheidet. 
html, 05.12.2017 


5 Vgl. Bundesanstalt für Finanzdienstlei- 
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stungsaufsicht (BaFin): Algorithmischer 
Handel und Hochfrequenzhandel, 2016, 
https://www.bafin.de/DE/Aufsicht/ 
BoersenMaerkte/Hochfrequenzhandel/ 
high_frequency_trading_node.html, 
15.08.2017 


Fischer, Sarah und Petersen, Thomas: Was 
Deutschland über Algorithmen weiß und 
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Bevölkerungsumfrage, 2018, Arbeits- 
papier im Auftrag der Bertelsmann 
Stiftung, S. 24 ff., https://www. 
bertelsmann-stiftung.de/de/publika- 
tionen/publikation/did/was-deutsch- 
land-ueber-algorithmen-weiss-und- 
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Klaus-Jürgen Roth 


Datenschutzaufsicht und Politik 


- zur Regulierung des Auswahlprozesses der Leitung von Aufsichtsbehörden 
am Beispiel Schleswig-Holsteins - 


Die Wahl und die Benennung von Da- 
tenschutzbeauftragten als „Mitglieder“ 
von Datenschutzaufsichtsbehörden er- 
folgt über bisher wenig hinterfragte po- 
litische Prozesse. Da damit auch eine 
inhaltliche Festlegung beim Datenschutz 
verbunden ist, sollte hier mehr Transpa- 
renz und demokratischer Diskurs erfol- 
gen. Am Beispiel der Wahl des langjäh- 
rigen DVD-Vorsitzenden und heutigen 
DVD-Vorstandsmitglieds Thilo Weichert 
zum Vorstand des Unabhängigen Lan- 
deszentrums für Datenschutz Schleswig- 
Holstein (ULD) wird diese Forderung un- 
termauert. 


1 Einleitung: EuGH-Urteil und 
unabhängige Aufsicht 


Kurz vor dem Wirksamwerden der 
europäischen Datenschutz-Grundver- 
ordnung (DSGVO) Ende Mai 2018 verab- 
schiedete der schleswig-holsteinische 
Landtag ein neues Landesdatenschutz- 
gesetz (LDSG SH) sowie ein Gesetz zur 
Errichtung eines Unabhängigen Lan- 
deszentrums für Datenschutz (ULD-G).' 
Kurz nach Wirksamwerden der DSGVO 
verkündete der Europäische Gerichts- 
hof (EuGH) sein Urteil zur Verantwort- 
lichkeit bei Internet-Dienstleistungen, 
konkret der Fanpagebetreiber für die 
durch Facebook durchgeführte Daten- 
verarbeitung.? 

Beide Ereignisse haben nicht nur 
zeitlich und über die DSGVO eine Ver- 
bindung, sondern auch durch die Kla- 
gegegner im EuGH-Verfahren. Diesem 
Verfahren liegt eine Verfügung des Un- 
abhängigen Landeszentrums für Daten- 
schutz Schleswig-Holstein (ULD) gegen- 
über der Wirtschaftsakademie Schles- 
wig-Holstein GmbH (WAK) zugrunde. 
Die WAK ist eine privatwirtschaftliche 
Tochter der Industrie- und Handels- 
kammer Schleswig-Holstein (IHK), also 
der öffentlich-rechtlichen Organisiert- 
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heit der Wirtschaft des Landes. Das ULD 
hatte, in einer Art Musterverfahren, der 
WAK, stellvertretend für die Wirtschaft 
des Landes, den Facebook-Fanpagebe- 
trieb untersagt, weil die dadurch ausge- 
löste Datenverarbeitung bei Facebook 
gegen Datenschutz verstieß. Das EuGH- 
Urteil, das sich voll der Position des ULD 
anschloss, erging auf eine Vorlage des 
Bundesverwaltungsgerichts.? Zuvor war 
das ULD gegenüber der WAK vor dem 
Verwaltungsgericht‘ und dem Oberver- 
waltungsgericht Schleswig-Holstein® 
unterlegen. 

Das EuGH-Verfahren ist nicht nur in- 
haltlich bemerkenswert, sondern auch 
durch den Umstand, dass sich hier eine 
Datenschutzaufsichtsbehörde erklär- 
termaßen nicht nur der Position der 
organisierten Wirtschaft, sondern auch 
der Regierung des eigenen Bundeslan- 
des widersetzte, die ebenso wie die WAK 
mehrere Facebook-Fanpages betreibt. 
Diese stellte dadurch ihre Unabhängig- 
keit unter Beweis. 

So schließt sich der Kreis zum neu- 
en ULD-G, mit dem Qualität und Unab- 
hängigkeit der Datenschutzaufsicht in 
Schleswig-Holstein gewährleistet wer- 
den sollen, so wie dies in Art. 8 Abs. 3 
GRCh und in den Art. 52 u. 53 DSGVO 
gefordert wird. Das Facebook-Verfahren 
war der zentrale Ansatzpunkt der Kritik 
am damaligen Leiter des ULD Thilo Wei- 
chert. Diese war wiederum der zentrale 
Gegenstand der politischen Debatte um 
die Besetzung der Position der ULD- 
Leitung. 

Ing 2 Abs. 1 ULD-G heißt esnun: „Der 
Landtag wählt auf Vorschlag der Frak- 
tionen ohne Aussprache die Landesbe- 
auftragte oder den Landesbeauftragten 
mit mehr als der Hälfte seiner Mitglieder 
für die Dauer von 6 Jahren. Eine einma- 
lige Widerwahl in zulässig.” Hinter die- 
ser eher formal daher kommenden Re- 
gelung versteckt sich ein heftiger, viele 


Jahre dauernder politischer Streit über 
die Benennung der ULD-Leitung. 


2 Ausgangslage 


Eine dem ULD-G ganz ähnliche Rege- 
lung galt mit 8 35 Abs. 1 LDSG SH seit 
dem Jahr 2000. Diese unterschied sich 
inhaltlich nur dadurch, dass anstelle 
der sechs- eine fünfjährige Amtszeit 
vorgesehen war. Am 29.04.2004 wurde 
Thilo Weichert auf Vorschlag der regie- 
renden Fraktionen SPD und Grüne in 
offener Abstimmung mit den Stimmen 
von SPD, Grünen, SSW (Südschleswig- 
scher Wählerverband) und FDP gegen 
die Stimmen der CDU als Nachfolger des 
bisherigen ULD-Leiters Helmut Bäum- 
ler zum Landesbeauftragten gewählt.‘ 
Weichert war von 1984 bis 1986 Land- 
tagsabgeordneter der Grünen im Land- 
tag Baden-Württemberg. Er übernahm, 
nachdem er zuvor 5 Jahre lang Stellver- 
treter von Bäumler war, fristgemäß am 
01.09.2004 dessen Funktion. Schon in 
seiner ersten Amtsperiode erwies sich 
Weichert als engagierter Datenschützer, 
weshalb es Konflikte mit den jeweiligen 
Landesregierungen gab, etwa mit dem 
SPD-Innenminister Ralf Stegner bei der 
Novellierung des Polizeirechts 2006.’ 


3 Erste Wiederwahl 


Als im Jahr 2008 erneut die Wahl der 
ULD-Leitung anstand, hatte sich die Re- 
gierungsmehrheit geändert und wurde 
nun von der CDU und der SPD gestellt. 
Kurz nach Ablauf der offiziellen Amts- 
periode wurde Weichert in einer offenen 
Abstimmung auf Antrag der Oppositi- 
onsfraktionen FDP, Grüne, SSW einstim- 
mig im Amt bestätigt.? 

Dieses Ergebnis war nicht selbstver- 
ständlich. Zeitlich im Zusammenhang 
mit der Vorstellung des ULD-Tätigkeits- 
berichtes war es zu einer Vielzahl von Pu- 
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blikationen über die weitere Besetzung 
der ULD-Leitung gekommen. CDU- und 
SPD-Fraktion hatten zuvor untereinan- 
der vereinbart, das Vorschlagsrecht hier- 
für solle bei der CDU liegen, nachdem 
die SPD die Stelle der Bürgerbeauftrag- 
ten des Landes besetzt hatte. Als CDU- 
Alternative wurde der stellvertretende 
Vorsitzende der CDU-Fraktion Thomas 
Strietzel genannt, der aber keinerlei Er- 
fahrungen beim Datenschutz nachwei- 
sen konnte. Daraufhin schlugen FDP, 
Grüne und SSW als ihren Kandidaten 
Weichert vor. Gemäß dem stellvertreten- 
den SSW-Vorsitzende Lars Harms habe es 
Schleswig-Holstein Weichert zu verdan- 
ken, dass das Land auf dem ersten Platz 
in der „Datenschutz-Bundesliga” stehe. 
Die SPD, mit der die CDU noch vor der 
Wiederwahl Weicherts die Koalition auf- 
löste, schwieg sich zunächst aus und un- 
terstützte Weichert aber nach dem Koali- 
tionsbruch offensiv. Dies veranlasste die 
CDU zu beschließen, Weichert mitzuwäh- 
len und quasi im Gegenzug „in Weicherts 
Amt Stellen zu kürzen”. Die Zustimmung 
der CDU zur Wiederwahl Weicherts wurde 
zugleich „als Signal an die Ökopartei” für 
eine mögliche schwarz-grüne Koalition 
nach der anstehenden Landtagswahl in- 
terpretiert.’ 


4 Gesetzesänderungen 


War also die Motivation des Wahlver- 
haltens 2009 bei der Benennung der 
ULD-Leitung bei vielen Fraktionen we- 
nig fachlich und überwiegend partei- 
politisch bestimmt, so war dieses Phä- 
nomen bei den Wahlen 2014/2015 zur 
ULD-Leitung noch bestimmender. Im 
& 35 Abs. 1 S. 2 LDSG-SH war vorgese- 
hen, dass eine Wiederwahl nur einmal 
zulässig ist. Weichert war interessiert, 
nach Ablauf seiner zweiten Amtszeit mit 
einem Alter von 60 Jahren eine weite- 
re Amtsperiode anzuhängen, weshalb 
er gegenüber den Landtagsfraktionen 
anregte, den Wiederwahlausschluss im 
LDSG zu streichen. Bei den Oppositi- 
onsparteien stieß er hierzu auf positive 
Resonanz. 


4.1 Unabhängige Aufsicht 
2010/2011 kam die Unabhängig- 


keit der Datenschutzaufsicht dadurch 
unfreiwillig auf die Tagesordnung des 
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Landtags Schleswig-Holstein, weil der 
EuGH mit Urteil vom 09.03.2010 die 
Bundesrepublik Deutschland wegen 
eines Verstoßes gegen die europäische 
Datenschutzrichtlinie (EG-DSRI) ver- 
urteilte. Deutschland hatte mit seinen 
Organisationsstrukturen für die Daten- 
schutzaufsicht nicht die in Art. 28 Abs. 1 
UAbs. 2 EG-DSRI geforderte Unabhän- 
gigkeit umgesetzt.'° Dies galt nicht nur 
für das Amt des Bundesbeauftragten, 
sondern ebenso für die Aufsichtsbe- 
hörden der Länder und damit auch für 
Schleswig-Holstein.. Zwecks Umset- 
zung dieser europarechtlichen Vorgabe 
brachten die Regierungsfraktionen CDU 
und FDP 2011 einen Entwurf zur Ände- 
rung des LDSG ein.'! Weitergehende No- 
vellierungsvorschläge des ULD wurden 
von den Regierungsfraktionen nicht 
aufgegriffen. 


4.2 LDSG-Novelle 


Die weitergehenden ULD-Vorschläge 
wurden zumindest teilweise parallel 
durch einen Regierungsentwurf zur Än- 
derung des LDSG aufgegriffen." Bei der 
Behandlung des Vorschlags im Innen- 
und Rechtsausschuss beantragte die 
Fraktion des SSW in einem Änderungs- 
antrag, 8 35 Abs. 1S. 2 dahingehend zu 
ändern, dass die Wiederwahl des ULD- 
Leiters nicht beschränkt wird.” Der da- 
malige datenschutzpolitische Sprecher 
der CDU-Fraktion Michael von Abercron 
sowie die Sprecherin der FDP-Fraktion 
Ingrid Brand-Hückstädt hatten zuvor 
persönlich signalisiert, dass sie der 
Streichung der Wiederwahlausschlusses 
zustimmen würden. Erstaunlicherwei- 
se stimmten dann aber in der Sitzung 
des Innen- und Rechtsausschuss am 
30.11.2011 sämtliche CDU- und FDP-Ab- 
geordneten gegen die Antrag des SSW; 
SPD, Grüne, SSW und Linke stimmten 
dafür.'* Damit blieb es vorläufig bei der 
auf einmal beschränkten Wiederwahl- 
möglichkeit. Die erste Auseinanderset- 
zung um die Wiederwahlmöglichkeit der 
ULD-Leitung in Schleswig-Holstein fällt 
zeitlich zusammen mit dem Versuch des 
ULD, die datenschutzwidrigen Aktivitä- 
ten von Facebook rechtlich in den Griff 
zu bekommen. Das ULD und dessen Lei- 
ter sahen sich deshalb massiven Angrif- 
fen insbesondere aus der Wirtschaft des 
Landes ausgesetzt."° 


Nach der Wahl am 06.05.2012 für den 
18. schleswig-holsteinischen Landtag 
hatten sich die Mehrheiten gedreht. Die 
Linken schieden wieder aus; die Piraten 
zogen mit 6 Abgeordneten ins Parlament 
ein und derneue Ministerpräsident Tors- 
ten Albig hatte mit den Fraktionen von 
SPD, Grünen und SSW eine hauchdünne 
Mehrheit von einer Stimme im Land- 
tag. Diese wurde aber vorläufig nicht 
genutzt, um verbleibenden Novellie- 
rungsbedarf im LDSG nachzuholen. Erst 
kurz vor Ablauf der Amtszeit von Wei- 
chert stellten die Fraktionen fest, dass 
eine Wahl des Datenschutzbeauftragten 
ansteht. Als erste brachte die Piraten- 
Fraktion Januar 2014 einen Gesetzent- 
wurf ein, wonach die Wahl in zeitlicher 
Nähe zum Ablauf der vorangegangenen 
Amtszeit erfolgen soll; die Wahl solle 
„auf Vorschlag eines Ausschusses, des- 
sen Zusammensetzung und Verfahren 
der Landtag in seiner Geschäftsordnung 
regelt”, erfolgen oder auf Vorschlag der 
Fraktionen. Es solle eine öffentliche 
Ausschreibung und eine Anhörung der 
Bewerberinnen und Bewerber in öffent- 
licher Sitzung geben.‘ Daraufhin wur- 
den sich die Regierungsfraktionen SPD, 
Grüne und SSW einig, dass eine Wie- 
derwahl von Weichert wünschenswert, 
aber gesetzlich bisher ausgeschlossen 
ist und beantragten im Februar 2014, in 
8 35 Abs. 15. 2 LDSG die Worte „nur ein- 
mal” zu streichen.'’ In Reaktion hierauf 
wiederum beantragte die CDU-Fraktion, 
für die Wahl des ULD-Leiters als Daten- 
schutzbeauftragten eine 2/3-Mehrheit 
statt der bisherigen absoluten Mehrheit 
erforderlich zu machen." Vorbild waren 
entsprechende Regelungen in Nieder- 
sachsen und Sachsen-Anhalt. In der Sit- 
zung des Innen- und Rechtsausschusses 
vom 29.10.2014 wurde der CDU-Entwurf 
mit den Stimmen der Regierungsfrakti- 
onen gegen die Stimmen von CDU und 
Piraten bei Enthaltung der FDP abge- 
lehnt.'? 

Der Entwurfder Regierungsfraktionen 
wurde von der Opposition mit dem Titel 
„Lex Weichert” versehen und öffentlich 
massiv angegriffen. Der CDU-Abgeord- 
nete Axel Bernstein brachte die Kritikin 
einem Satz auf den Punkt: „Zur Versor- 
gung eines grünen Parteifreundes wird 
der Datenschutz dauerhaft auf Facebook 
reduziert”. Um neue Entwicklungen zu 
beobachten und voranzutreiben, bedür- 
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fe es ab und zu eines Personalwechsels.?° 
Vor der politischen Auseinandersetzung 
stand eine mehr oder weniger wissen- 
schaftliche Diskussion um die Entwürfe 
der Piraten und der Regierungsfraktio- 
nen. Hieran beteiligt wurden das ULD?'!, 
der Landesbeauftagte für Datenschutz 
und Informationsfreiheit Mecklenburg- 
Vorpommern (LfDI MV)”, der Landesbe- 
auftragte für den Datenschutz Nieder- 
sachsen”, Prof. Joachim Krause von der 
Universität Kiel (CAU)”‘, Prof. Hans Pe- 
ter Bull?°, die Deutsche Vereinigung für 
Datenschutz e. V. (DVD)?‘, der Hambur- 
gische Beauftragte für Datenschutz und 
Informationsfreiheit (HmbBfDI)”, die 
Arbeitsgemeinschaft der kommunalen 
Landesverbände”, Transparency Inter- 
national (TI)” und Prof. Florian Becker 
(CAU)°°. Der LfDI MV, das ULD und die 
DVD betonten in ihren Stellungnahmen, 
dass es für die Qualität der Tätigkeit des 
ULD-Leiters darauf ankäme, dass dieser 
fachlich kompetent ist, wofür ein trans- 
parenter Auswahlprozess förderlich ist; 
ein Auswechseln nach einer gewissen 
Amtszeit sei dagegen untergeordnet. 
Am 18.06.2014 beschloss der Landtag 
in zweiter Lesung den Regierungsent- 
wurf mit der uneingeschränkten Wie- 
derwahlmöglichkeit und lehnte den 
Piratenentwurf ab.’' Das Gesetz trat 
einen Tag nach seiner Verkündung am 
27.06.2014 in Kraft.” 


5 Gescheiterte Wahl 


Am 10.07.2014 stand die Wahl des 
Landesbeauftragten für den Daten- 
schutz auf der Tagesordnung des Land- 
tags. Neben dem Kandidaten der Regie- 
rungsfraktionen Weichert® hatte die 
FDP kurzfristig ihren früheren Land- 
tagsabgeordneten Rechtsanwalt Gerrit 
Koch zur Wahl gestellt. Bei der gehei- 
men Wahl wurden 69 Stimmen abgege- 
ben; davon entfielen 34 auf Weichert, 
30 auf Koch bei 5 Enthaltungen.’ Damit 
wären die Wetten, die die Abgeordneten 
Wolfgang Kubicki und Uli König auf der 
Sitzung am 19.02.2014 abgeboten ha- 
ben, nämlich dass nach einer Änderung 
des LDSG Weichert gewählt würde*‘, ver- 
loren worden. 

Die Nichtwahl Weicherts blieb in der 
18. Legislaturperiode der einzige Fall, 
bei dem die Einstimmenmehrheit der 
rot-grün-blauen Koalition sich nicht 
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gegen die Opposition durchgesetzt 
hat. Sie erinnerte an die Nichtwahl von 
Heide Simonis zur Ministerpräsidentin 
Schleswig-Holsteins am 17.03.2005, bei 
der auch eine Stimme ausschlaggebend 
war. In Analogie zur Bezeichnung „Hei- 
de-Mord” hierfür” war nun vom „Thilo- 
Mord“ die Rede.°® 

Nach der Nichtwahl Weicherts wurde 
in den Medien spekuliert, weshalb diese 
erfolgte, so etwa Erich Maletzke: „Der 
Abweichler zielte zwar auf Weichert, 
wollte aber in Wirklichkeit Torsten Al- 
big treffen. Ein Regierungschef hat in 
den eigenen Reihen immer Gegner. 
Aus den unterschiedlichsten Gründen. 
Manchmal sind sie sogar sehr privat- 
persönlicher Art. Nicht auszuschließen 
ist auch, dass jemand dem in der SPD- 
Fraktion nur mäßig beliebten Vorsitzen- 
den Stegner einen kleinen Denkzettel 
geben wollte.” Als Grund für das Ergeb- 
nis nannten viele auch das „Durchpeit- 
schen“ der Wiederwahlmöglichkeit.‘ 
Selbst die Verletzung von Etikette wurde 
als möglicher Grund genannt, weil dem 
FDP-Kandidaten Koch von Seiten des 
Regierungslagers die Möglichkeit der 
Vorstellung verweigert wurde.“' Inter- 
essant für die Bewertung des Vorgangs 
ist auch ein Kommentar von Minister- 
präsident Albig (SPD), der es als „extrem 
ärgerlich und unprofessionell” bezeich- 
nete, „dassjemand durch sein Verhalten 
in dieser politisch ja nicht besonders 
relevanten Personalfrage schlechte Sig- 
nale aussendet”.‘ 


5.1 Mehrheitssuche 


In einem Interview legte SPD-Frak- 
tionschef Ralf Stegner seine Strategie 
offen, wie „es bei der Wahl des Daten- 
schutzbeauftragten eine Mehrheit über 
SPD, Grüne und SSW hinaus geben 
kann“: „Außerdem werde ich mich mit 
den Kollegen der Oppositionsparteien 
treffen. Es stehen ja weitere Personal- 
entscheidungen an, etwa die Leitung 
einer neu formierten Landeszentrale 
für politische Bildung.“ Die FDP spe- 
kulierte aber mehr mit einer Besetzung 
eines Postens im Senat des Landesrech- 
nungshofes. Der FDP-Kandidat Christi- 
an Albrecht scheiterte bei seiner Wahl 
am 13.11.2014 an den Gegenstimmen 
der Koalitionsfraktionen.‘““ Albrecht 
wurde später 2016 bei unveränderten 


Mehrheiten im Landtag dann doch noch 
in diese Position einstimmig gewählt.“ 

Entgegen ersten Spekulationen kam es 
zunächst nach der Sommerpause 2014 zu 
keinen weiteren öffentlichen Aktivitäten 
hinsichtlich der ULD-Leitung; Weichert 
übte die Funktion kommissarisch weiter 
aus. Im September 2014 hatte das OVG 
Schleswig-Holstein gegen das ULD im 
Streit um Facebook-Fanpages entschie- 
den.‘ Bewegung kam in den Auswahl- 
vorgang für die ULD-Leitung erst wieder 
mit der Präsentation des ULD-Tätigkeits- 
berichts am 23.03.2015, wodurch das 
Thema Datenschutz wieder in den Fokus 
der Aufmerksamkeit der Landespolitik 
geriet. Es wurde nun von allen Landtags- 
fraktionen gemeinsam ein „offizielles In- 
teressensbekundungsverfahren” gestar- 
tet, das bis zum 30.04.2015 geschlossen 
werden sollte. CDU und FDP signalisier- 
ten aber schon öffentlich, Weichert nicht 
wählen zu wollen, da das Land „einen 
neuen Landesdatenschutzbeauftragten” 
brauche und „Betriebsblindheit” zu ver- 
hindern sei.” Unklar war zunächst die 
Position der Piraten, die inhaltlich ihre 
politische Argumentation oft und gerne 
mit den Positionen Weichert begründe- 
ten. Für deren Fraktionsvorsitzenden 
Patrick Breyer war jedoch die Haltung 
von Weichert nicht kompromisslos ge- 
nug, etwa weil dieser eine differenzierte 
Bewertung bei der Vorratsdatenspei- 
cherung von Telekommunikationsdaten 
oder bei polizeilichen Befugnissen ein- 
gefordert hatte. 

Auf das Interessenbekundgungs- 
verfahren meldeten sich viele Interes- 
sierte. CDU und FDP meinten ein Coup 
landen zu können, indem sie sich zum 
Abschluss des Bewerbungsverfahrens 
für die Wahl der grünen Plöner Kreis- 
tagspolitikerin Kirsten Bock ausspra- 
chen. Die Juristin Bock war zum dama- 
ligen Zeitpunkt 11 Jahre lang beim ULD 
tätig. FDP-Fraktionschef Wolfgang Ku- 
bicki meinte „dass es möglich sein wird, 
für Frau Bock eine Mehrheit zu bekom- 
men.” Sie selbst erklärte das Standard- 
Datenschutzmodell aus dem ULD zu ih- 
rem „Herzblutprojekt” Sie wurde als Ex- 
pertin für europäisches und internati- 
onales Datenschutzrecht präsentiert.“ 
In einem Internet-Kommentar war aber 
zu lesen, Bock sei „ULD-intern ein rotes 
Tuch”, weshalb dem ULD im Fall ihrer 
Wahl „eine Zerreißprobe“ drohe.“? 
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5.2 Wahlvon Marit Hansen 


In dieser Situation entschied sich die 
seit 2008 als Stellvertreterin in der ULD- 
Leitung tätige Informatikerin Marit 
Hansen, sich für das Amt bereit zu stel- 
len. Hansen arbeitete damals schon seit 
20 Jahren für das ULD und hatte sich 
durch Forschungsprojekte im Bereich 
des Datenschutzes international Re- 
nommee verschafft. Weichert erklärte, 
zu ihren Gunsten auf eine weitere Kan- 
didatur zu verzichten. 

Nach einer Vorstellung von Hansen bei 
den Fraktionen der Regierungsparteien 
wie der Piraten erklärten diese, dass sie 
Hansen als Kandidatin vorschlagen wer- 
den. Hierauf wiederum erklärte Hans- 
Jörg Arp für die CDU-Fraktion „Die Lex 
Weichert ist ab heute überflüssig. Thilo 
Weichert hatin den vergangenen Jahren 
durch - seiner Kampagne gegen Face- 
book dienende - Klagen vielen kleinen 
und mittelständischen Unternehmen in 
Schleswig-Holstein das Leben schwer 
gemacht. Nun endlich ist eine von SPD, 
Grünen und SSW zu verantwortende jah- 
relange Hängepartie beendet”.° 

Weichert selbst kommentierte die 
Vorgänge wie folgt: „Der Datenschutz ist 
Spielball der Politik“. Zur Relevanz des 
Facebook-Verfahrens für seinen nicht 
freiwilligen Rückzug meine er: „Face- 
book war sicher eine sehr nachhaltige 
Auseinandersetzung, aber nicht mein 
größter Kampf“. Er wies daraufhin, dass 
die rechtliche Auseinandersetzung am 
12.12.2015 beim BVerwG in die nächste 
Runde gehen werde. Zu seiner bisheri- 
gen Stellvertreterin und späteren Nach- 
folgerin meine er: „Ich wüsste niemand 
besseres.” Mit ihr seien Kontinuität und 
Qualität gesichert.°! 

Danach konnte es nicht schnell ge- 
nug gehen: Auf der letzten Sitzung vor 
der Sommerpause am 15.07.2015 wurde 
die Wahl der Landesdatenschutzbeauf- 
tragten auf die Tagesordnung gesetzt. 
Die CDU und die FDP verzichteten auf 
einen eigenen Wahlvorschlag. Der 
Wahlvorschlag Marit Hansen von SPD/ 
Grüne, Privaten und SSW? erhielt in 
geheimer Abstimmung von den 68 ab- 
gegebenen und gültigen Stimmen 49 
Ja- und 11 Nein-Stimmen bei 8 Enthal- 
tungen.’ Hansen hatte also nicht nur 
die Stimmen der antragstellenden Frak- 
tionen, sondern auch welche von der 
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CDU und der FDP erhalten. Zwar hieß es 
in 8 35 Abs. 15. 1 LDSG, dass die Wahl 
der Landesbeauftragten „ohne Ausspra- 
che“ stattfindet. Der nächste Tagesord- 
nungspunktnach der Wahl Hansens war 
aber zum 35. Tätigkeitsbericht 2015 des 
ULD, den die Redner aller Fraktionen 
dazu nutzten, die vergangene Arbeit 
von Weichert zu würdigen. Dabei wurde 
der Stil von Weichert bewertet als offen 
und fair (Bernstein CDU), als unbe- 
quem, kompetent, streitlustig und öf- 
fentlichkeitswirksam. Im Zentrum der 
Bewertungen der Abgeordneten von 
Weicherts Engagement als ULD-Leiter 
stand sein Engagement zu Facebook, 
das teils positiv, teils kritisch gewür- 
digt wurde.’ Bei der offiziellen Verab- 
schiedung von Weichert am 03.09.2015 
wurde von Ministerpräsident Torsten 
Albig nochmals betont, wie wichtig es 
gewesen sei, dass das ULD und Weichert 
die Diskussion um die Datenmacht Fa- 
cebook angestoßen habe.°® 


6 Nochmals: Gesetzesänderung 


Marit Hansen leitet seitdem unan- 
gefochten das ULD. Doch spielten die 
Themen der Auseinandersetzung um 
die ULD-Leitung weiterhin eine Rolle. 
So veröffentlichte der Fraktionsvorsit- 
zende der Piraten vor der Landtagswahl 
am 2017 Breyer „Mein persönliches 
Highlight der vergangenen fünf Jahre”: 
„Die Küstenkoalition scheiterte mit dem 
Versuch, den ehemaligen Landesdaten- 
schutzbeauftragten wiederzuwählen. 
Stattdessen haben wir PIRATEN eine 
öffentliche Ausschreibung des Amts 
durchgesetzt”.°° Bei der Landtagswahl 
am 07.05.2017 erzielten die Piraten 
1,2% der Wählerstimmen und zogen 
nicht wieder ins Parlament ein. 

Auch hinsichtlich der Transparenz der 
Wahl der ULD-Leitung erwies sich das 
Highlight Breyers nicht als nachhaltig: 
Das zur Umsetzung der DSGVO von einer 
schwarz-grün-gelben Koalition verab- 
schiedete ULD-G sieht nun in 8 5 Abs. 1 
weder Transparenz noch öffentliche 
Ausschreibung vor. In Satz 2 heißt es: 
„Eine einmalige Wiederwahl ist zuläs- 
sig.“ Die einzige Konzession von CDU 
und FDP an die Grünen scheint zu sein, 
dass anstelle der zunächst geplanten 
5jährigen eine 6jährige Amtszeit der 
ULD-Leitung vorgesehen ist.” 


7 Schlussfolgerungen 


Die Diskussion über die Datenschutz- 
aufsicht ist mit der DSGVO in eine neue 
Phase eingetreten. Art. 53 Abs. 1 DS- 
GVO verpflichtet die Mitgliedstaaten, 
das Mitglied ihrer Aufsichtsbehörden 
„im Wege eines transparenten Verfah- 
rens” zu ernennen. Dessen ungeachtet 
enthält nicht nur das LDSG SH bzw. das 
ULD-G, sondern enthalten alle allgemei- 
nen deutschen Datenschutzgesetze zur 
Umsetzung der DSGVO keine Regelung 
zur Transparenz der Leitungen der Auf- 
sichtsbehörden. Damit verstoßen die 
Gesetzgeber ganz offensichtlich gegen 
die expliziten DSGVO-Vorgaben.’® 

Dessen ungeachtet erfolgte die Dis- 
kussion um die Besetzung der ULD-Lei- 
tung - unfreiwillig - von der ersten Wie- 
derwahl Weicherts an in einer breiten 
Öffentlichkeit. Dies war dem Umstand 
zuzuschreiben, dass die Besetzungen 
jedes Mal Gegenstand parteipolitischer 
Auseinandersetzungen waren. Natürlich 
dient die parlamentarische Auswahl der 
Leitungen der Aufsichtsbehörden nicht 
nur der Feststellung von „Qualifikation, 
Erfahrung und Sachkunde insbesonde- 
re im Bereich des Schutzes personen- 
bezogener Daten”, sondern auch einer 
datenschutzpolitischen Priorisierung.” 
Letztlich dient die Wahl der Leitung 
deren demokratischer Legitimation. Es 
gibt keine politisch neutrale Verteidi- 
gung digitaler Grundrechte. 

Das hier ausführlich dargestellte Fall- 
beispiel zu Schleswig-Holstein ist Beleg 
dafür, dass bei der Wahl des „Mitglieds“ 
oft keine fachlichen Aspekte ausschlag- 
gebend sind. Einige der politischen 
Äußerungen deuten sogar darauf hin, 
dass subjektive persönliche Aspekte für 
das politische Handeln im Vordergrund 
standen. Soweit bei der Nichtwahl Wei- 
cherts fachliche Aspekte eine Rolle 
spielten, wurden diese von dessen Um- 
gang mit Facebook bestimmt, der insbe- 
sondere von der rechtlich geforderten 
Unabhängigkeit von Politik und Wirt- 
schaft zeugte. Esist Ironie der Geschich- 
te, dass gerade dieser politisch massiv 
angegriffene Umgang letztlich vom 
EuGH in seinem Urteil vom 05.06.2018 
bestätigt wurde.‘ Der Vorgang zu Fa- 
cebook und dessen spätere Bewertung 
durch den EuGH unterstreicht die Not- 
wendigkeit der Unabhängigkeit der Da- 
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tenschutzaufsicht - auch und insbeson- 
dere von der Politik, nicht nur von den 
zu kontrollierenden Stellen. 

Bei einer Analyse des konkreten Ver- 
haltens der verschiedenen politischen 
Fraktionen im oben analysierten Fall 
erweist sich zunächst, dass die CDU 
eine eher datenschutzkritische und 
wirtschaftsfreundliche Position ver- 
trat und vertritt. Dies ist wenig über- 
raschend. Eine aufsichtsfreundliche 
Position vertreten und vertraten die 
Grünen sowie der SSW. Die SPD wiede- 
rum demonstrierte ein teilweise enga- 
giertes, zugleich aber auch ein stark 
taktisches Verhältnis zum Datenschutz. 
Verblüffend war das Verhalten von FDP 
und Piraten, zwei programmatisch dem 
Datenschutz eher zugeneigten Partei- 
en. Für sie war offenbar das Vorführen 
der jeweiligen Landesregierung, der sie 
nicht angehörten, zentral für ihr Verhal- 
ten. Das „Lex Weichert” wurde weiterhin 
bekämpft, auch nachdem es in Kraft 
getreten war und kurzfristig keine poli- 
tische Relevanz mehr hatte. Inhaltliche 
Erwägungen zum Datenschutz wurden 
zurückgestellt zugunsten formaler und 
letztlich parteipolitischer Erwägungen. 
Die Frage der Wiederwahlmöglichkeit 
spielte bisher für die politischen Partei- 
enim Bund oder in Bundesländern - au- 
ßer im konkreten Fall - keine Rolle. 

Letztlich ist die Transparenz des Be- 
nennungsverfahrens die einzige be- 
grenzte Garantie für eine Sicherung 
weitest gehender Unabhängigkeit. Die 
in den Ländern Sachsen-Anhalt und 
Niedersachsen geltende Regelung, für 
die Wahl des „Mitglieds“ eine Zweidrit- 
telmehrheit zu fordern, führt genau 
in die entgegen gesetzte Richtung: 
Die Nichtwahl Nils Leopolds durch den 
Landtag Sachsen-Anhalt im März und 
im Mai 2018 ist hierfür ein Beleg. Die 
Wahl der Datenschutzaufsicht scheint 
geradezu dafür prädestiniert zu sein, 
für parteipolitische datenschutzfremde 
Zwecke missbraucht zu werden. Qualifi- 
zierte Mehrheiten sind im Sinne des an- 
gestrebten Grundrechtsschutzes nicht 
gemeinwohlfördernd.‘! 

Die Schlussfolgerung, die aus dem 
oben dargestellten Fallbeispiel gezo- 
gen werden kann, ist zu versuchen, den 
parteipolitischen Einfluss auf die Beset- 
zung der Aufsichtsbehörden zurückzu- 
drängen. Zwar sollte ausgeschlossen 
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sein, dass, wie noch kurz vor dem Wirk- 
samwerden der DSGVO praktiziert, die 
Besetzung dieser Ämter ausschließlich 
nach politischen Kriterien erfolgen und 
nichtnnach Qualifikation. Als Alternative 
dazu kommt nur eine verstärkte öffent- 
liche Debatte in Betracht. Öffentliche 
Ausschreibungen, wie sie z. B. für den 
Europäischen Datenschutzbeauftragten 
von Anfang an üblich sind, sollten der 
Mindeststandard sein.‘ Ergänzt werden 
sollte dies in jedem Fall durch eine öf- 
fentliche Anhörung der Kandidatinnen 
und Kandidaten, bevor eine demokra- 
tisch legitimierte Wahl stattfindet. 
Nach der Wahl ist vor der Wahl: Eine 
kritische Begleitung der Tätigkeit der 
Aufsichtsbehörden durch Medien und 
Nichtregierungsorganisationen ist drin- 
gender denn je, nachdem die Daten- 
schutzaufsicht in der DSGVO mit mehr 
Befugnissen ausgestattet wurde. Durch 
die öffentliche Begleitung der Aufsicht- 
stätigkeit wird letztlich die wichtigste 
Entscheidungsgrundlage für die Frage 
geschaffen, ob eine das Amt inhaben- 
de Person erneut gewählt werden soll 
oder nicht. Dies gilt nicht nur für die 
kritische Berichterstattung durch die 
Medien, sondern auch für die wissen- 
schaftliche Durchdringung des Verhält- 
nisses zwischen Politik, Wirtschaft und 
Datenschutzaufsicht. 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Handy-Auswertung bei 
Flüchtlingen bringt wenig 


Seit September 2017 wertet das Bun- 
desamt für Migration und Flüchtlinge 
(BAMF) die Daten auf den Smartphones 
von Flüchtlingen aus, um festzustellen, 
ob diese bei ihren Angaben zu Herkunft, 
Fluchtweg und Kontakten die Unwahr- 
heit sagen (DANA 2/2017, 101 £.). Juni 
2018 wurden erstmals Erkenntnisse 
vorgelegt, was die aufwändige Aktion 
bringt: offensichtlich nicht viel. Die Aus- 
wertung der Auswertung belegte nicht 
den verbreiteten Verdacht, dass Flücht- 
linge in größerem Ausmaß versuchen zu 
tricksen oder zu lügen beiihren Angaben 
zu Identität, Herkunft und Staatsange- 
hörigkeit. In einer Antwort der Bundes- 
regierung auf die Anfrage der Linksfrak- 
tion wird das Ergebnis der Pilotphase von 
September 2017 bis Mai 2018 erstmals 
zusammengefasst. Nur in etwa 100 Fäl- 
len haben sich danach in den neun Mo- 
naten Hinweise auf Widersprüche erge- 
ben zwischen den Handydaten und den 
eigenen Angaben der Asylsuchenden. In 
diesem Zeitraum wurden rund 230.000 
Asylanträge entschieden. 

Das Auslesen von Mobiltelefonen 
war im vergangenen Jahr trotz heftiger 
Proteste von DatenschützerInnen und 
FlüchtlingshelferInnen eingeführt wor- 
den, um etwa mittels Telefonverbindun- 
gen und Fotos verlässlichere Informatio- 
nen zur Herkunft von Asylsuchenden zu 
bekommen (DANA 2/2017, 101 £.). Wer 
als Flüchtling keinen Pass vorlegt, wird 
um die Herausgabe seines Mobiltelefons 
gebeten. Die Geräte werden ausgelesen, 
die erlangten Informationen in einem 
„Datentresor” gespeichert und nur dann 
verwendet, wenn Identität und Herkunft 
des Antragstellers unklar sind. Offenbar 
helfen diese Informationen aus den Mo- 
biltelefonen nur in den seltensten Fällen 
den Entscheidern des BAMF weiter. 
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Von September 2017 bis Mai 2018 wur- 
den knapp 15.000 Handys ausgelesen; in 
den Asylverfahren tatsächlich verwendet 
wurde nur jeder dritte Datensatz. Von 
diesen 5.000 digitalen Infopaketen be- 
stätigten laut Bundesinnenministerium 
ein Drittel die Angaben der Flüchtlinge. 
Lediglich in zwei Prozent, also in rund 
100 Fällen, ergaben sich Widersprüche. 
Unbekannt ist allerdings, ob sich die- 
se Widersprüche im Gespräch mit den 
Antragstellern auflösen ließen oder auf 
diese Weise Lügen enttarnt wurden. Laut 
Innenministerium für die Bundesregie- 
rung lasse sich dies statistisch nicht er- 
mitteln. Es flössen „viele andere Aspekte” 
in die Bewertung ein: „Auch wenn die 
ausgelesenen Daten gegen die angege- 
bene Herkunft sprechen, kann es im Ein- 
zelfall sein, dass es andere Erkenntnisse 
gibt, die letztlich zu einer Bestätigung 
der Herkunftsangabe führen.” Sicher 
aber ist, dass das Gros der ausgewer- 
teten Handys, knapp zwei Drittel, also 
rund 10.000, zu Identität und Herkunft 
„keinen relevanten Informationsgehalt 
erkennen” ließen. 

Für Ulla Jelpke, innenpolitische Spre- 
cherin der Linken, widerlegen die Aus- 
wertungen „ein verbreitetes Vorurteil: 
Ein Missbrauch oder falsche Angaben 
von Asylsuchenden in einer relevanten 
Größenordnung lassen sich damit gerade 
nicht belegen“. Die Zahlen „unterstrei- 
chen die Unverhältnismäßigkeit dieser 
massenhaften Verletzung des Rechts auf 
informelle Selbstbestimmung“ (Kastner, 
Flüchtlinge Auswertung von Handys 
bringt kaum Nutzen, www.sueddeutsche. 
de 08.07.2018). 


Bund 


Online-Zugriffe auf AZR 
sollen Regelfall werden 


Im Koalitionsvertrag zwischen den 
Unionsparteien und der SPD ist vorge- 


sehen, dass das Ausländerzentralre- 
gister (AZR) so modifiziert wird, dass 
künftig alle „relevanten Behörden ... 
belastbare Auskünfte“ erhalten kön- 
nen. Bisher müssen Auskunftsersuchen 
in vielen Fällen schriftlich an das Bun- 
desverwaltungsamt (BVA) gerichtet 
werden, was gemäß dem Bundesinnen- 
ministerium (BMI) zu „Verzögerungen 
in Verwaltungsabläufen“ führt. Das 
BMI arbeitet an einem Gesetzentwurf, 
der den Datenabruf im automatisierten 
Verfahren für alle öffentlichen Stellen 
zum Regelfall machen soll. Auch Ge- 
richte sollen Daten in Echtzeit abrufen 
können. Eine Sprecherin: „Das AZR ist 
hinsichtlich seiner Nutzungsmöglich- 
keiten ausbaufähig.” Die Vorsitzende 
Richterin am Verwaltungsgericht Köln 
Rita Zimmermann-Rohde weist jedoch 
darauf hin, dass es nicht Aufgabe der 
Gerichte sein könne, nachzuprüfen, ob 
sich ein Verfahrensbeteiligter noch im 
Land befinde oder bereits abgeschoben 
worden sei. Es sei vielmehr „lege artis”, 
dass die zuständigen Behörden die Ge- 
richte entsprechend informierten (Di- 
gitale Kooperation, Der Spiegel Nr. 30, 
21.07.2018, 12). 


Bund 


Gesundheitsminister Spahn 
will Smartphone-Zugriff 
auf Patientendaten 


Gesetzlich Krankenversicherte sol- 
len gemäß den Vorstellungen von Bun- 
desgesundheitsminister Jens Spahn 
spätestens 2021 ihre Patientenakte 
auch auf dem Handy einsehen können: 
„Versicherte sollen auch per Tablet und 
Smartphone auf ihre elektronische Pa- 
tientenakte zugreifen können”. Das sei 
nicht das Ende der elektronischen Ge- 
sundheitskarte, aber eine zusätzliche, 
patientenfreundliche Option. Diese Plä- 
ne stoßen auf Kritik: Eine Weitergabe 
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von Patientendaten an Krankenkassen, 
Arbeitgeber und andere Dritte müsse 
ausgeschlossen sein, forderte der Ärz- 
teverband Marburger Bund. Er unter- 
stützt zwar, dass digitale Neuerungen 
für alle PatientInnen verfügbar gemacht 
werden sollen. Bei der beschleunigten 
Einführung elektronischer Patienten- 
akten müsse jedoch der Datenschutz 
eingehalten werden. Zentral sind für 
den Ärzteverband dabei ein geschütztes 
Kommunikationsnetz und einheitliche 
Standards. Bei der Sicherheit dürfte es 
keine Abstriche geben. Das Arztgeheim- 
nis dürfe nicht in Gefahr geraten. Das 
informationelle Selbstbestimmungs- 
recht der PatientInnen dürfe nicht un- 
tergraben werden. 

Zudem verlangt der Marburger Bund, 
dass die Nutzung elektronischer Akten 
für PatientInnen freiwillig sein wird. Ob 
Daten gespeichert werden, müsse jeder 
selbst entscheiden. Ärztliche Beratung 
sei dabei zentral. Denn gerade ältere 
oder mehrfach erkrankte PatientInnen 
könnten zwar am meisten von der elek- 
tronischen Patientenakte profitieren 
- doch gerade sie seien oft nicht in der 
Lage, ihre Akte ganz allein zu verwalten. 

In eine ähnliche Richtung geht die 
Kritik des Vereins Patientenrechte und 
Datenschutz e. V. Dr. Bernhard Schef- 
fold, Physiker und Software-Entwickler, 
erklärte für den Verein: „Gesundheits- 
und Behandlungsdaten auch noch on- 
line zugänglich zu machen und damit 
für das Internet zu Öffnen, wäre ein 
inakzeptables Sicherheitsrisiko, weil 
damit eine Vielzahl von Angriffs- und 
Zugriffsmöglichkeiten für Hacker, Ge- 
heimdienste und andere an diesen 
Daten interessierten Organisationen 
geschaffen würden.” Uta Schmitt vom 
gleichen Verein ergänzt: „Aus unserer 
Sicht müssen folgende grundlegende 
Rechte und Freiheiten der gesetzlich 
Versicherten dauerhaft rechtlich und 
tatsächlich gesichert werden: das Recht 
auf Vertraulichkeit (Arztgeheimnis), 
das Recht auf strikte Beachtung der 
Zweckbindung der Patientendaten, das 
Recht auf freie Arztwahl, das Recht, 
keine elektronische Gesundheitsakte 
zu haben, das Recht auf volle Verfügung 
über die eigene Akte. Die zur Wahrung 
dieser Patientenrechte erforderlichen 
rechtlichen, technischen und organi- 
satorischen Rahmenbedingungen sind 
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zu erhalten bzw. neu zu schaffen. Was 
Herr Spahn fordert, widerspricht diesen 
Grundsätzen.” 

Die von Spahn angedachte Smart- 
phone-Version der elektronischen Pa- 
tientenakte werde lediglich die Kos- 
ten für Versicherte und ihre Kranken- 
kassen deutlich in die Höhe treiben. 
Dies sei angesichts der bisher für die 
Entwicklung der elektronischen Ge- 
sundheitskarte (eGK) aufgelaufenen 
Kosten von mehr als zwei Milliarden 
Euro unverantwortlich (Ärzte fordern 
Sicherheit für digitale Krankenakte, SZ 
24.07.2018, 5; PM Patientenrechte und 
Datenschutz e.V., Das ist #Spahnsinn! 
23.07.2018). 


Bundesweit 


Private und öffentliche 
Krankenversicherer bieten 
E-Gesundheitsakte an 


Nach AOK und Technikerkrankenkas- 
se (TK) stellte erstmals ein Konsortium 
von gesetzlichen und privaten Kran- 
kenversicherern gemeinsam eine elek- 
tronische (E-) Gesundheitsakte vor, mit 
der die Versicherten über eine App alle 
ihre Gesundheitsdaten verwalten kön- 
nen sollen. Die am 05.06.2018 in Berlin 
vorgestellte E-Gesundheitsakte „Vivy” 
sollen zunächst 25 Millionen Versicher- 
te nutzen können, die Mitglied bei ei- 
ner der beteiligten Krankenkassen und 
Unternehmen sind. Dazu gehören unter 
anderen Betriebs-, Ersatz- und Innungs- 
krankenkassen, u. a. die DAK Gesund- 
heit, die Bahn BKK und die ikk classic 
sowie die Krankenversicherer Allianz, 
Gothaer, Süddeutsche und Barmenia. 
Daniel Bahr, Vorstand der Allianz Priva- 
te Krankenversicherung und einst FDP- 
Gesundheitsminister, erklärte: „Es gibt 
viele weitere, die Interesse haben.” Die 
vom Berliner Start-up Vivy entwickelte 
systemübergreifende Lösung wird von 
Bitmarck unterstützt, dem IT-Dienst- 
leister von mehr als 90 Krankenkassen 
sowie mehreren privaten Krankenversi- 
cherungen. Die Allianz SE ist mit 70% an 
der Vivy GmbH beteiligt. Die restlichen 
30% hält der Gründer und Geschäftsfüh- 
rer Christian Rebernik. 

Zielist es, mit dem digitalen Angebot 
Versicherten die Möglichkeit zu geben, 


ihre persönlichen Gesundheitsdaten in 
einer App zu verwalten. Darüber hinaus 
hat Vivy gemäß einer Mitteilung den 
Anspruch, Nutzenden jederzeit als digi- 
tale Gesundheitsassistentin zur Seite zu 
stehen. Die Versicherten hätten dabei 
die volle Kontrolle über ihre Daten; nur 
sie selbst entscheiden, welche Infor- 
mationen sie in der App speichern und 
an wen sie diese weitergeben möchten. 
Erfasst werden können über die Vivy- 
App „einfach und sicher” Arztbriefe, 
Befunde, Laborwerte, Medikationsplä- 
ne, Notfalldaten und Impfinformati- 
onen. Die Anwendung soll möglichst 
einfach zu handhaben sein, auch bei 
der Anbindung an die Arzt- und an die 
Kliniksoftware. Die Ärzteschaft soll Un- 
tersuchungsdaten sehr einfach in der 
Vivy-App ihrer PatientInnen bereitstel- 
len können, sie müssten dafür keine ex- 
tra Software installieren. 

Die Nutzenden sollen dann über Vivy 
ihre Patientendaten bei den behandeln- 
den Arztpraxen abfragen können, wel- 
che die Daten auf dem vorgegebenen 
digitalen Weg bereitstellen. Bei dieser 
Datenabfrage handele es sich grund- 
sätzlich nicht um eine Weiterleitung 
von personenbezogenen Daten an Drit- 
te, sondern um eine Datenabfrage des 
Patienten als betroffene Person im Sin- 
ne der Datenschutzgrundverordnung 
(DSGVO). Bahr: „Als Versicherer können 
wir die Daten nicht sehen.” Die Akte soll 
für Versicherte freiwillig und kostenlos 
sein. Schon im Juli 2018 begannen die 
ersten Krankenkassen, ihre Versicher- 
ten in die Vivy-App einzuladen. 

Hintergrund des neuen Angebots ist, 
dass die Entwicklung der elektronischen 
Gesundheitskarte (eGK) im Rahmen der 
offiziellen Telematik-Infrastruktur und 
damit auch eine bundesweit einheitli- 
che elektronische Patientenakte wei- 
terhin nur schleppend vorankommt. Vor 
dem Konsortium waren schon die AOK 
und der TK mit eigenen Angeboten vor- 
geprescht. Bahr betonte, dass sie keine 
weitere Insellösung wollen. Je mehr 
unterschiedliche Angebote bestehen, 
umso schwieriger werde die Anbindung 
für die Ärzteschaft und die Krankenhäu- 
ser (Digitale Gesundheitsplattform für 
25 Millionen Versicherte, www.aerzte- 
zeitung.de 05.06.2018; Schlingensie- 
pen, Gesundheitsakte für 25 Millionen, 
SZ 06.06.2018, 19). 
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Bundesweit 


DSGVO-Abmahnungen sind 
unterwegs 


Die Befürchtungen, dass mit dem 
Wirksamwerden der Datenschutz- 
Grundverordnung (DSGVO) eine Ab- 
mahnwelle starten würde, haben sich 
nicht bestätigt. Letztlich ist es ziemlich 
ruhig geblieben. Auch Abmahn-Anwäl- 
ten scheint oft nicht so richtig klar zu 
sein, was jetzt erlaubt ist und was ver- 
boten. Einige sind dennoch tätig ge- 
worden und haben für ihr Tätigwerden 
Mandanten erfunden. Diese Masche 
zeigte sich beispielsweise bei einer Zeit- 
arbeitsfirma aus Nordrhein-Westfalen, 
die Tischler vermittelt. Bei „Tischler für 
NRW” trudelten Anfragen von erbosten 
Konkurrenten ein, die dem Anschein 
nach im Auftrag der Firma von einer 
Kanzlei abgemahnt wurden. Das ent- 
sprach aber nicht der Wahrheit, wie das 
Unternehmen dann auch groß und breit 
auf der offiziellen Homepage erklärte. 
Demnach existierte kein Auftrag für 
solche Abmahnungen und die Kanzlei 
besaß auch keine Vollmacht. 

Auch die Ärzteschaft wird mit Abmah- 
nungen traktiert. Viele ÄrztInnen wur- 
den aufgefordert, binnen kurzer Zeit die 
Anwaltsgebühren zu zahlen, ansonsten 
drohten Zwangsmaßnahmen, weitere 
juristische Schritte und möglicherweise 
ein Prozess. Hintergrund der Abmah- 
nungen sind jeweils die Homepages, 
auf denen gemäß der DSGVO die Daten- 
schutzerklärungen angepasst werden 
müssen. Es wird empfohlen, in solchen 
Fällen die Webseiten kurzzeitig vom 
Netz zu nehmen, bis alles den neuen 
DSGVO-Regeln entspricht. Es sollte Kon- 
takt mit dem angeblichen Auftraggeber 
der Abmahnung aufgenommen werden, 
um festzustellen, ob tatsächlich ein Auf- 
trag von einem Konkurrenzunterneh- 
men besteht. Möglicherweise handelt es 
sich bei den Schreiben um Betrug. Statt 
sofort zu zahlen, sollte im Zweifelsfall, 
so die Empfehlung des Hamburgischen 
Datenschutzbeauftragten, ein Anwalt 
eingeschaltet werden (Michelsen, DS- 
GVO-Abmahnungen: Abzock-Kanzleien 
erfinden Kunden, www.computerbild.de 
08.06.2018; Hamburger Ärzte empört 
über Abmahnbriefe, Hamburger Abend- 
blatt 20.07.2018). 
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Bundesweit 


Datenschutzaufsichtsbe- 
hörden mit DSGVO 
überfordert 


Der erste Monat mit der neuen eu- 
ropäischen Datenschutz-Grundver- 
ordnung (DSGVO) hat die zuständigen 
deutschen Aufsichtsbehörden weit über 
ihre Leistungsgrenzen gefordert. Im 
Juni 2018 sind in vielen Bundesländern 
bereits mehr Beschwerden eingegan- 
gen als zuvor innerhalb eines Jahres. 
Neben Beschwerden bekommen die 
Landes-Datenschützer auch viele Nach- 
fragen von Unternehmen und Bürgern 
zum Umgang mit den neuen, seit dem 
25.05.2018 wirksamen Regeln. 

In Baden-Württemberg landeten allein 
über das entsprechende Online-Formular 
auf der Internetseite der Datenschützer 
im ersten Monat 211 Beschwerden; den 
Monat zuvor waren es nur 66.Von einer 
Verdreifachung ist auch in Hessen die 
Rede. Seit Ende Mai verzeichnete man 
dort bislang 450 Beschwerden. Eine 
Sprecherin des hessischen Datenschutz- 
beauftragten Michael Ronellenfitsch er- 
läuterte: „Wir nennen uns nur noch Call- 
Center. Die Zahl der Anfragen ist extrem 
hoch. Vor allem bei Firmen, Kommunen 
und auch bei Vereinen herrschen gro- 
ße Unsicherheiten.” Auch Privatleute 
wenden sich mit ihren Fragen an die Be- 
hörde. Die nach zwei Jahren Übergangs- 
frist direkt anwendbare DSGVO, die den 
Datenschutz in Europa vereinheitlichen 
und den Kontrolleuren mehr Macht ge- 
ben soll, hat jede Menge Verunsicherung 
ausgelöst. 

Auch die DatenschützerInnen in 
Nordrhein-Westfalen versinken, so ein 
Sprecher, in einer Flut von Anfragen: 
„Die Telefone stehen nicht mehr still.” 
Täglich nehme der mit nur einer Person 
besetzte Empfang rund 100 Anrufe zum 
Thema DSGVO entgegen. In den Tagen 
rund um den Start der neuen EU-Regeln 
am 25.05. seien es sogar 140 Anrufe täg- 
lich gewesen. Seit Anfang des Jahres bis 
Juni erreichten die NRW-Datenschütze- 
Innen 4.700 schriftliche Eingaben - im 
gesamten Vorjahr waren es nur knapp 
4.000. Allerdings fallen darunter nicht 
nur Beschwerden, sondern auch Bera- 
tungsanfragen. 


Besonders viele Beschwerden gingen 
ein, direkt nachdem die neue Verord- 
nung wirksam wurde. In Berlin bei- 
spielsweise waren es allein am 28. Mai 
rund 130 Beschwerden. Das entspricht 
laut der zuständigen Landesbehörde 
einem zehn Mal höheren Aufkommen 
als vor Beginn der DSGVO-Ära. Mittler- 
weile habe sich die Zahl bei etwa 30 Be- 
schwerden pro Tag eingependelt, heißt 
es - was immer noch das Dreifache der 
ursprünglichen Menge sei. Als Schwer- 
punkte kristallisierten sich Online-Han- 
del und Lieferdienste für Essen heraus. 
Die Fälle werden nun geprüft und die 
Unternehmen um Stellungnahme ge- 
beten. Viele BürgerInnen seien im Zuge 
der Berichterstattung über die neuen 
Regeln stärker in Sachen Datenschutz 
sensibilisiert: „Sie haben davon erfah- 
ren, dass es Datenschutz überhaupt 
gibt, das war vorher bei vielen nicht 
bekannt.” Die DSGVO soll Menschen 
mehr Mitsprache dabei geben, was mit 
ihren Daten in Unternehmen, Vereinen 
oder Behörden passiert. Beim Hambur- 
ger Datenschutzbeauftragten Johan- 
nes Caspar gingen fast doppelt so viele 
Beschwerden wie zuvor ein. Insgesamt 
wandten sich im ersten DSGVO-Monat 
460 Mal BürgerInnen an die Behörde. 
260 dieser Eingänge wurden bereits aus- 
gewertet. In 60% der Fälle beschwerten 
sich die Menschen über Verstöße gegen 
die neue DSGVO. 

In Schleswig-Holstein gingen rund 
400 Beschwerden ein. Einige davon 
richteten sich gemäß der Landes-Da- 
tenschutzbeauftragten Marit Hansen 
zugleich gegen mehrere Verantwort- 
liche: „Beispielsweise ging es in einer 
Beschwerde um mehr als 20 mutmaßli- 
che Datenschutzverstöße.“ Manchmal 
reichten für denselben Fall mehrere 
Betroffene Beschwerde ein. In einem 
Fall habe es vier getrennte Beschwerden 
gegeben. Die Betroffenen haben gemäß 
der DSGVO grds. einen Anspruch auf 
Antwort innerhalb von einem Monat. 

Dieter Kugelmann, Landesdaten- 
schutzbeauftrager in Rheinland-Pfalz, 
erklärte, dass Verbraucherinnen mit 
ihren Beschwerden vor allem auf ver- 
meintliche Missstände in sozialen 
Netzwerken wie Facebook aufmerksam 
machen: „Aber auch wegen Videoka- 
meras in Geschäften, Straßen oder beim 
Nachbarn melden sich viele Menschen.” 
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Bei Kugelmann liefen im Juni 2018 ins- 
gesamt 123 Beschwerden auf. 

In Thüringen dagegen gab es nach 
Angaben des Datenschutzbeauftragten 
Lutz Hasse keinen signifikanten Anstieg 
von Beschwerden im Zusammenhang 
mit der Datenschutzgrundverordnung. 
„Allerdings haben sich die Eingangszah- 
len auf bis zu 500 pro Tag deshalb stark 
erhöht, weil sehr viele Fragen - auch 
von Unternehmen - zur DSGVO gestellt 
werden. Das ist sehr schön, drückt un- 
sere Behörde aber kapazitätsmäßig 
ganz schön in die Knie“ (DSGVO: Neue 
Regeln halten Datenschutz-Behörden in 
Atem, www.heise.de 23.06.2018; Daten- 
schutz: 400 Beschwerden, Kieler Nach- 
richten 25.06.2018, 24; Seibel, Zahl der 
Datenschutz-Beschwerden explodiert, 
www.welt.de 01.07.2018). 


Bundesweit 


Polizei sammelt rechts- 
extreme „Feindeslisten” 


Sicherheitsbehörden haben seit 2011 
anlässlich von Razzien und Festnahmen 
bei gewaltbereiten Gruppen sogenann- 
te „Feindeslisten” gefunden. Darauf 
sind die Daten von 25.000 Personen mit 
Namen, Telefonnummer und Adressen 
vermerkt. Dies ergaben journalistische 
Recherchen auf der Grundlage einer 
Antwort der Bundesregierung auf eine 
parlamentarische Anfrage der Linken. 

Die entsprechenden Schriftstücke 
oder Datensätze stammen vor allem aus 
den Ermittlungen gegen den rechtster- 
roristischen Nationalsozialistischen Un- 
tergrund (NSU) bis Ende 2011 und aus 
den Ermittlungen gegen den terrorver- 
dächtigen Bundeswehrsoldaten Fran- 
co A. und zwei Komplizen. Zahlreiche 
entsprechende Daten fanden sich auch 
bei den Ermittlungen gegen die rechte 
Prepper-Gruppierung „Nordkreuz” im 
Jahr 2017. Mit Prepper bezeichnet man 
Personen, die sich auf Katastrophen 
vorbereiten. Dazu lagern sie Lebens- 
mittel ein, errichten Schutzbauten und 
lagern Schutzkleidung, Werkzeuge, 
Funkgeräte und Waffen ein. 

Aus der Antwort der Bundesregierung 
geht hervor, dass es keine gemeinsame 
Datei von Bund und Ländern über be- 
drohte Personen auf diesen „Feindes- 
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listen“ gibt. Martina Renner von der 
Linkenfraktion im Bundestag warf der 
Bundesregierung vor, die rechtsterro- 
ristische Gefahr zu ignorieren: „Anders 
ist es nicht zu erklären, dass das Bun- 
deskriminalamt von mehreren Zehn- 
tausend Betroffenen nicht mal eine 
Handvoll informiert und sich sonst aus- 
schweigt” (Rechtsextreme setzten Tau- 
sende auf „Feindesliste”, www.dw.com 
30.07.2018). 


Bundesweit 


Vorerst nurin Bayern 
Regelanfragen bei Beset- 
zung von Richterstellen 


Auf Initiative von Hessens Justizminis- 
terin Eva Kühne-Hörmann (CDU) berie- 
ten die JustizministerInnen der Länder 
am 06./07.06.2018 über die Einführung 
einer Regelanfrage beim Verfassungs- 
schutz bei der Einstellung von RichterIn- 
nen. Kühne-Hörmann meinte, man müs- 
se Vorkehrungen treffen, um „die staat- 
lichen Strukturen vor extremistischem 
Gedankengut zu bewahren”, weil etwa 
durch den „Pakt für den Rechtsstaat” 
Personal in großem Umfang eingestellt 
werden solle. Sie orientiert sich dabei an 
Bayern, das die Regelanfrage seit Ende 
2016 praktiziert. Mit „Einwilligung“ der 
Bewerbenden wird beim Verfassungs- 
schutz eine Regelanfrage durchgeführt. 
Es gelte, Mitglieder rechts- oder linksex- 
tremer wie auch islamistischer Gruppen 
auszufiltern. Damit sei kein Generalver- 
dacht gegen potenzielle RichterInnen 
verbunden. 

Der Antrag fand auf der Justizminis- 
terInnenkonferenz keine Mehrheit. 
Vielmehr wurde ein Beschluss gefällt, 
der mit Sorge zur Kenntnis nimmt, dass 
sich in jüngster Zeit vermehrt Menschen 
als RichterInnen bewerben, die „mit ex- 
tremistischem, antidemokratischem 
und verfassungsfeindlichem Gedanken- 
gut in Erscheinung getreten sind”. Es 
blieb bei einem Austausch über Mög- 
lichkeiten und Maßnahmen, insofern 
aktiv zu werden. Hamburgs Justizsena- 
tor Till Steffen (Grüne) erklärte, Hessen 
falle mit seinem Antrag „in antiliberale 
Verhältnisse der Siebzigerjahre zurück“, 
also in Zeiten des „Radikalenerlasses” 
von 1972, der zu einer millionenfachen 


Überprüfung von Bewerbenden im öf- 
fentlichen Dienst geführt hatte und zu 
Berufsverboten, deren Folgen bis heute 
in den Rentenbiografien verhinderter 
Lehrer spürbar sind. Gemäß Steffen zieht 
eine Regelanfrage die Verfassungstreue 
von Bewerbenden grundsätzlich in 
Zweifel wegen weniger kritischer Fälle, 
in denen man meist auch ohne Verfas- 
sungsschutzämter Erkenntnisse habe. 

Auch der Vorsitzender der Konferenz 
Thüringens Justizminister Dieter Lau- 
inger (Grüne), stimmte gegen den Vor- 
schlag. In Thüringen werde auch ohne 
Regelanfrage keinE KandidatIn nur 
aufgrund der Examensnote eingestellt. 
Diese würden intensiv von Fachgremien 
befragt. Ähnlich hält man es in Rhein- 
land-Pfalz; wo die Verfassungsschutz- 
behörde bei Zweifeln über die Verfas- 
sungstreue eingeschaltet wird. Auch 
Bremens Justizsenator Martin Günthner 
(SPD) votierte gegen eine Regelanfrage 
und wies darauf hin, dass die Zustim- 
mung von den Bewerbern ja nicht wirk- 
lich freiwillig erteilt werde. 

Das bayerische Landesamt für Verfas- 
sungsschutz gibt an, nur „gerichtsver- 
wertbare Tatsachen” weiterzugeben. 
Das könne „Reichsbürger”, Islamisten 
und autonome Linksextremisten be- 
treffen oder auch AfD-Mitglieder, die 
wegen enger Kontakte zur rechtsext- 
remen Szene unter Beobachtung des 
Verfassungsschutzes stünden. Die Par- 
tei selbst werde nicht beobachtet. In- 
formationen von V-Leuten seien nicht 
gerichtsverwertbar, selbst dann nicht, 
wenn sie einen Richteramtsbewerber 
bei einem rechtsextremen Liederabend 
gesehen hätten. Seit Einführung der Re- 
gelanfrage im November 2016 gab esin 
Bayern keinen einzigen Treffer, sondern 
nur Fehlanzeigen (Janisch, Richter sol- 
len auf ihre Gesinnung geprüft werden, 
SZ 05.06.2018, 89. Konferenz der Jus- 
tizministerinnen und Justizminister 
6./7.6.2018, Beschluss TOP 1.16). 


Bayern 


Verfassungsklagen gegen 
PAG 


Die Landtagsfraktion der Grünen, 
die fraktionslose Abgeordnete Claudia 
Stamm der Partei „mut“ sowie die SPD- 
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Fraktion wollen über eine richterliche 
Prüfung klären lassen, ob das von der 
CSU-Mehrheit gegen die Stimmen der ge- 
samten Opposition verabschiedete und 
am 25.05.2018 in Kraft getretene Poli- 
zeiaufgabengesetz (PAG) die Freiheits- 
rechte der BürgerInnen übermäßig ein- 
schränkt und deshalb verfassungswidrig 
ist (vgl. DANA 1/2018, 11 ff.). Folgen 
könnten noch Linke und FDP, die erklärt 
haben, dass sie auch klagen wollen. 

SPD-Landeschefin Natascha Kohnen 
begründete den Schritt: „Wir verteidigen 
den Freistaat Bayern gegen das illiberale 
Gesetz der CSU”. Nach ihrer Auffassung 
beschneidet das Gesetz „die Freiheit der 
Bürgerinnen und Bürger in einer für un- 
sere Demokratie unerträglichen Weise 
und begegnet ihnen mit tiefem Misstrau- 
en.” Gemäß demneuen PAGgenügtschon 
eine drohende Gefahr, um Überwachung 
und andere polizeiliche Maßnahmen, 
etwa DNA-Tests, einzuleiten. Die SPD 
zieht nicht nur vor den bayerischen Ver- 
fassungsgerichtshof, sondern wählt, wie 
Claudia Stamm, auch noch den Weg vor 
das Bundesverfassungsgericht. Dies sei 
nötig, da die CSU das Gesetz zum Muster 
für alle Landesgesetze machen wolle. Der 
Polizeirechtler Mark Zöller hat in seiner 
Klageschrift für die SPD-Fraktion eine 
Mängelliste von 20 Verfassungsverstö- 
ßen aufgeführt. Zöller: „Da haben Über- 
wachungsfantasten ihre Wunschträume 
verwirklicht. Bei der Überwachung von 
Wohnungen erfülle das Gesetz die Vor- 
gaben des Grundgesetzes nicht. Fußball- 
fans hätten zu Recht moniert, dass man 
sie mit Übersichtsaufnahmen von Droh- 
nen anlasslos überwache. Durch den 
Rechtsbegriff der „drohenden Gefahr” 
könne die Polizei schon bei „Verdacht, 
demnächst einen Verdacht” zu haben, 
eingreifen. Er sei zuschwammig und ver- 
stoße damit gegen das verfassungsrecht- 
liche Bestimmtheitsgebot. 

Die Grünen haben am 06.06.2018 beim 
Bayerischen Verfassungsgerichtshof 
Klage eingereicht. Einen überdimensio- 
nalen Briefumschlag, in dem angeblich 
die Klageschrift steckte, hatte Katharina 
Schulze, Fraktionsvorsitzende der Grü- 
nenim Landtag, gebastelt. Von der eben- 
so groß geratenen Briefmarke stierten 
zwei Überwachungskameras herunter. 
Schulze meinte, das neue PAG sei vom 
„Überwachungswahn der CSU” geprägt. 
Der Staatsrechtler Christoph Degenhart 
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von der Universität Leipzig hat die Klage 
für die Grünen verfasst. Die Balance von 
Freiheit und Sicherheit werde nicht ge- 
wahrt. Eingriffe in die Grundrechte der 
BürgerInnen seien für 39 Maßnahmen 
bei „drohender Gefahr” erlaubt.” Die Po- 
lizei könne jetzt früher Telefone abhören 
oder E-Mails lesen. Betroffen sei jeder- 
mann. Das Bundesverfassungsgericht 
verwende die „drohende Gefahr” dage- 
gen nur in Zusammenhang mit Terroris- 
mus. Stören müssten das Gericht nach 
Meinung Deegenharts auch geplante 
Übersichtsaufnahmen bei Menschenan- 
sammlungen. Da die Technik es erlaube, 
den Einzelnen hervorzuheben, sieht er 
einen Eingriffin die Grundrechte. 

Die Landesregierung hält dem entge- 
gen, die Polizei soll gemäß dem Gesetz 
viele Eingriffe künftig bei einem Richter 
beantragen. Nur in Einzelfällen dürf- 
ten Polizeibeamte selbst entscheiden. 
Um die rechtsstaatliche Anwendung zu 
wahren, solle über die Umsetzung des 
Gesetzes soll eine Kommission unter Vor- 
sitz des Verfassungsrechtlers Karl Huber 
wachen. 

Der frühere Ministerpräsident Horst 
Seehofer, unter dem das Gesetz geschrie- 
ben wurde, sieht das Gesetz als Vorbild 
für die neuen Polizeiaufgabengesetze 
aller Bundesländer. Die Opposition wirft 
der CSU dagegen vor, das Gesetz unter 
Missachtung des Bürgerwillens durch- 
gebracht zu haben. Auch die zum bür- 
gerlich-konservativen Lager zählenden 
Freien Wähler sind kritisch. Bei einer 
Demonstration gingen am 10.05.2018 
in München über 30.000 vor allem junge 
Menschen gegen das neue Polizeirecht 
auf die Straße. Die Gewerkschaft der 
Polizei (GdP) äußerte Zweifel an der Ak- 
zeptanz des Gesetzes in der Bevölkerung 
(SPD klagt ebenfalls gegen Polizeigesetz, 
SZ 08.06.2018, 40; Grüne klagen ge- 
gen neues Polizeiaufgabengesetz, www. 
sueddeutsche.de 06.06.2018; Bayern- 
SPD klagt gegen Polizeigesetz, www.zeit. 
de 24.05.2018). 


Hessen 


Schufa-Auskunftsverfahren 
in Konflikt mit DSGVO 


Die Schufa, die Schutzgemeinschaft 
für allgemeine Kreidtsicherung mit Sitz 


in Wiesbaden, verfügt nach eigenen An- 
gaben in Deutschland über Daten von 
rund 67,5 Millionen Menschen. Diese 
Daten sollen Auskunft geben über deren 
Bonität, also der Zahlungsfähigkeit und 
-bereitschaft. Wer eine kreditorische 
Vertragsbeziehung eingehen, z. B. ei- 
nen Mietvertrag abschließen möchte, 
von dem wird oft eine Schufa-Selbstaus- 
kunft abverlangt. Um diese schnell zu 
bekommen, muss der Betroffene zahlen. 
Das Angebot „Meine Schufa“ kostet mo- 
natlich 3,95 Euro und läuft mindestens 
ein Jahr. Zwar besteht gemäß dem Da- 
tenschutzrecht schon bisher ein An- 
spruch auf kostenfreie Auskunft, doch 
lässt sich die Schufa damit Zeit. Es dau- 
ert etwa zwei Wochen, bis diese den Weg 
per Post in den eigenen Briefkasten fin- 
det, was für einen Vertragsabschluss zu 
spät sein kann. 

Dem für die Schufa zuständigen 
hessischen Datenschutzbeauftragten 
(HDSB) stört diese Verzögerung. Ge- 
mäß der seit Ende Mai geltenden Da- 
tenschutzgrundverordnung (DSGVO) 
müssen Unternehmen zeitnah und auf 
elektronischem Weg Auskunft erteilen, 
wenn die Anfrage der Person auch auf 
diesem Weg erfolgt ist. Hat die Person 
die Auskunft elektronisch beantragt, 
sollen die Unternehmen - sofern nicht 
anders angegeben - auch auf diesem 
Wege antworten. Art. 15 DSGVO sieht 
vor, dass VerbraucherInnen kostenlos 
und „unverzüglich“ eine Kopie der über 
sie gespeicherten personenbezogenen 
Daten bekommen können. „Unverzüg- 
lich“ bedeutet gemäß Art. 12 Abs. 3 
DSGVO aber, dass es bis zur Auskunft ei- 
nen Monat dauern kann; in komplexen 
Ausnahmefällen darf die Frist um bis zu 
zwei Monate verlängert werden. 

Die kostenfreie Kopie nach Artikel 15 
DSGVO lässt sich über die Website der 
Schufa zwar bestellen, auch wenn man 
sich erst einmal eine Weile durch das 
Dickicht der kostenpflichtigen Ange- 
bote klicken muss. Allerdings bekommt 
man diese nur per Post zugesandt. Laut 
Schufa ist dieses Vorgehen mit der Auf- 
sichtsbehörde, dem HDSB, abgestimmt. 
Der Weg per Brief sei zulässig. Da die 
Anschriften der Betroffenen ohnehin 
bei der Schufa gespeichert seien, sei so 
eine Identifizierung und sichere Zustel- 
lung an den berechtigten Auskunfts- 
empfänger möglich. Zudem habe die 
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Schufa in der Regel keine verifizierten 
elektronischen Kontaktmöglichkeiten 
wie E-Mail-Adressen der jeweiligen Be- 
troffenen. 

Beim kostenpflichtigen Angebot 
„Meine Schufa” wird die Auskunft da- 
gegen auch Online erteilt. Die Identität 
der Anfragenden wird dort über die Prüf- 
ziffern des Personalausweises sicherge- 
stellt. Dieser Onlinezugang sei aller- 
dings, so argumentiert die Schufa, auch 
nicht sofort, sondern erst nach einer 
Prüfung verfügbar. Nach dem Identver- 
fahren mittels Personalausweis werden 
die Zugangsdaten per Post zugesendet. 
Das dauere dann etwa so lang wie die 
Postzustellung der DSGVO-Datenkopie. 

Die Schufa findet den Vergleich zwi- 
schen den eigenen kostenpflichtigen 
Angeboten und der kostenlosen DSGVO- 
Auskunft nicht für zulässig. Dabei han- 
dele es sich um komplett verschiedene 
Angebote. Die Schufa sei wie jedes an- 
dere Unternehmen frei in der Gestal- 
tung seiner Angebote. Außerdem sei die 
DSGVO-Kopie auch nur für den Betrof- 
fenen selbst gedacht und ausdrücklich 
nicht für die Weitergabe an Dritte, zum 
Beispiel an den künftigen Vermieter. Die 
Bundesbeauftragte für den Datenschutz 
und Informationsfreiheit (BfDI) erklär- 
te hierzu, dass dies aus Datenschutz- 
gründen sinnvoll sei, da die DSGVO- 
Selbstauskunft häufig mehr Angaben 
über die wirtschaftlichen Verhältnisse 
enthält, als für eine Beurteilung der Bo- 
nität im Rahmen eines Mietverhältnis- 
ses erforderlich sei (Hauck, Schufa auf 
dem Prüfstand, SZ 12.06.2018, 20). 


Nordrhein-Westfalen 


Neues Terrorabwehr- 
zentrum 


Als Reaktion auf das Anis-Amri-At- 
tentat in Berlin ordnet der Innenmi- 
nister von Nordrhein-Westfalen (NRW) 
Herbert Reul (CDU) den Staatsschutz 
seines Landes neu. Gemäß einem Erlass 
soll im Landeskriminalamt (LKA) zum 
01.01.2019 eine Abteilung Terrorismus- 
bekämpfung eingerichtet werden, die 
sich mit den etwa 20 als gefährlich ein- 
gestuften Islamisten im Lande befasst. 
Bislang wurden in NRW die Fälle aller 
272 islamistischen Gefährder dezentral 
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in den Polizeibehörden der Wohnorte 
bearbeitet. Innerhalb der neuen LKA- 
Abteilung soll ein Terrorismusabwehr- 
zentrum entstehen, ähnlich zum Ge- 
meinsamen Terrorismusabwehrzentrum 
(GTAZ) auf Bundesebene in Berlin. In 
diesem neuen Zentrum sollen Beamte 
von ihren örtlichen Dienststellen ent- 
sandt werden. Die hohe Gefährdungsla- 
ge mache, so der Erlass, eine Neuorgani- 
sation des Staatsschutzes und die Kon- 
zentration der Kräfte notwendig. Zuvor 
hatte schon das Bundeskriminalamt 
angekündigt, eine eigene Abteilung für 
islamistischen Terrorismus zu gründen. 
Die Zahl der Ermittlungsverfahren in 
dem Bereich hat sich in den vergange- 
nen Jahren vervielfacht (NRW gründet 
eigenes Terrorabwehrzentrum, Der Spie- 
gelNr. 30, 21.07.2018, 11). 


Nordrhein-Westfalen 


Kita schwärzt Fotos von 
Kindergesichtern 


Eine Kindertagesstätte in Hacken- 
broich in Nordrhein-Westfalen machte 
im Juli 2018 aus Datenschutzgründen 
Kinder in Fotomappen für die Abgänge- 
ıInnen nachträglich unkenntlich. Die 
Gesichter auf den Fotos wurden mit Filz- 
stift übermalt. Die Gesichter der Kinder 
der katholischen Kindertagesstätte St. 
Michael wurden in den Erinnerungs- 
alben, die ihnen die Betreuerinnen 
zusammengestellt und zum Abschied 
übergeben haben, mit schwarzem Ed- 
ding überkritzelt. Der Grund war die 
Angst vor einem Verstoß gegen die Da- 
tenschutzverordnung. Die Leitung der 
Kindertagesstätte ließ sämtliche Per- 
sonen unkenntlich machen; verschont 
blieb jeweils nur das Kind, dem die Map- 
pe gehörte. 

Die Empörung der Eltern war groß. 
Nachdem die lokale Presse über den 
Vorfall berichtete und die Geschichte 
bundesweit von den Medien aufgegrif- 
fen wurde, stand im Kindergarten St. 
Michael das Telefon nicht mehr still. 
Dort wollte man sich deshalb nicht mehr 
dazu äußern und verweist stattdessen 
auf das zuständige Pastoralbüro in Dor- 
magen. Pfarrer Peter Stelten erklärte, 
es sei ihm bewusst, dass eine solche 
Erinnerungsmappe nicht schön sei: 


„Aber wir brauchten eine wasserdichte 
Lösung, also haben wir uns für den si- 
cheren Weg entschieden.” Die Alterna- 
tive wäre gar keine Mappe gewesen. „Es 
musste flott gehen, wegen des neuen 
kirchlichen Datenschutzgesetzes”. Die- 
ses trat am 25.05.2018 in Kraft. 

Die Konferenz der Diözesanbeauftrag- 
ten hatte einige Zeit zuvor einen Leit- 
faden herausgegeben, mit dessen Hilfe 
sich Einrichtungen auf die Neuerun- 
gen in Sachen Datenschutz vorbereiten 
konnten. Stelten erläuterte: „In einem 
Alltag, wo jede freie Hand für die Kinder 
gebraucht wird, konnten wir uns damit 
nicht ausführlich genug auseinander- 
setzen”. Dafürseidas Thema vielzu kom- 
plex. Nele Trenner, eine Anwältin, die 
sich auf Datenschutz bei Kindern spezi- 
alisiert hat, zeigte hierfür Verständnis: 
„im normalen Alltag kann man solche 
Vorgaben kaum noch ohne juristischen 
Sachverstand lösen.” Natürlich sei es 
absurd, eine Erinnerung im Nachhinein 
zu schwärzen, statt zuvor die Erlaubnis 
der Eltern einzuholen. Solche Maßnah- 
men seien aber in Wirklichkeit weniger 
ein Anlass für Spott als ein Zeichen für 
ein tiefergehendes Problem: die kollek- 
tive Rat- und Hilflosigkeit, wie sieschon 
länger im Umgang mit persönlichkeits- 
bezogenen Daten von Privatpersonen 
existiere. Das entsprechende Gesetz sei 
zwar zum Schutz von Privatpersonen 
gemacht worden, könne aber nicht von 
ihnen durchschaut und genutzt werden. 

Es ist kein Wunder, dass Einrichtun- 
gen für Kinder besonders vorsichtig sind 
und alles richtig machen wollen. Zwar 
sei es, so Trenner, üblich, dass Eltern im 
Vorhinein schriftlich erklären, ob Fotos 
von ihren Kindern gemacht und in Mit- 
gliederzeitschriften oder im Internet 
veröffentlicht werden dürfen. Allerdings 
komme es vor, dass Eltern diese Erklä- 
rung später widerrufen mit dem Argu- 
ment, dass diese nicht freiwillig erfolgt 
sei, etwa wenn die Einverständniser- 
klärung in die Anmeldung zum Kinder- 
garten integriert ist, so wie es bei der 
Kindertagesstätte in Hackenbroich der 
Fall war: „Manche Eltern schrecken in 
so einem Moment vor einer Ablehnung 
zurück, weil sie fürchten, durch ihre 
Verweigerung die Zusage für den Kita- 
Platz zu riskieren”. So gesehen habe der 
Träger in diesem Fall eindeutig richtig 
gehandelt. Dennoch sollte man sich 
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von den neuen Datenschutzregelungen 
nicht verrückt machen lassen. Es ist ja 
nicht so, dass jeder gleich verklagt wer- 
de: „Im Umgang mit solchen Gesetzen 
funktioniert tatsächlich noch vieles mit 
dem gesunden Menschenverstand.” 


Im neuen Jahr soll in St. Michael 
alles besser werden. Pfarrer Stelten 
erklärte, die Deutsche Bischofskonfe- 
renz sei gerade dabei, ein Regelwerk 
zu erarbeiten, das den Bedürfnissen 
aller gerecht werde. Für die nächste 


Datenschutznachrichten aus dem Ausland 


EU 


5. Geldwäsche-Richtlinie 
tritt in Kraft 


Der Rat der Europäischen Union (EU) 
hat am 15.05.2018 ohne weitere Aus- 
sprache die 5. Reform der Richtlinie ge- 
gen Geldwäsche und Terrorismusfinan- 
zierung angenommen, mit der Krypto- 
geldkäufe aus der „Anonymität“ geholt 
werden sollen. Einen Monat zuvor hatte 
das EU-Parlament den Regelungen zu- 
gestimmt. 

Von der Richtlinie werden erst- 
mals die Betreiber von Wechselstuben 
für virtuelle Währungen wie Bitcoin, 
Ethereum oder Ripple sowie Anbieter 
elektronischer Geldbörsen erfasst, die 
künftig ihre KundInnen im Rahmen 
der „üblichen Sorgfaltspflichten” für 
Finanzhäuser kontrollieren müssen. 
Die Umtausch-Plattformen für Kryp- 
towährungen sollen gemäß den neuen 
Vorgaben die Identität der Nutzenden 
sowie deren Wallet-Adressen in einer 
zentralen Datenbank speichern. Parallel 
müssen sie es ermöglichen, dass Details 
über den Einsatz der Zahlungssysteme 
durch Selbstangaben der Nutzenden 
aufgezeichnet werden können. Ziel ist 
es, die angebliche Anonymität virtueller 
Währungen aufzuheben und das damit 
verbundene „Missbrauchspotenzial für 
kriminelle Zwecke” zu minimieren. 

Alle Finanzinstitute müssen auf Basis 
der neuen Richtlinie insbesondere Be- 
lege zu sämtlichen Transaktionen fünf 
bis maximal zehn Jahre nach dem Ende 
der Geschäftsbeziehung aufbewahren. 
Da vor allem Bankkonten oft jahrzehn- 
telang geführt werden, kann sich eine 
im Einzelfall nicht vorhersehbare Ar- 
chivfrist ergeben. Im Idealfall sollen 
alle betroffenen Einrichtungen zudem 
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ihre KundInnen identifizieren und die 
entsprechenden Daten genauso lange 
vorhalten wie die Transaktionsbelege. 

Auf Abruf müssen die Verpflichteten 
ihre gesammelten Nutzerinformationen 
einer zentralen nationalen Analysestel- 
le in Form der „Financial Intelligence 
Unit” (FIU) zur Verfügung stellen. Der 
Anwendungsbereich der Richtlinie 
bleibt vage. So gelten etwa auch alle 
einschlägigen Straftaten, die mit ei- 
ner Höchststrafe von über einem Jahr 
belegt sind, bereits als Vortaten zur 
Geldwäsche. Erfasst werden können so 
selbst einfache Delikte wie üble Nachre- 
de. KritikerInnen sehen in den Klauseln 
eine unverhältnismäßige Verpflichtung 
zur Vorratsdatenspeicherung und eine 
massive Einschränkung des Bankge- 
heimnisses. 

Anonyme Zahlungen über Prepaid- 
Karten werden weiter eingeschränkt. 
Den bisherigen europäischen Schwel- 
lenbetrag von 250 Euro, für den kei- 
ne Identitätsangabe nötig war, senkt 
der EU-Gesetzgeber auf 150 Euro; in 
Deutschland liegt das Limit derzeit 
schon bei 100 Euro. Auch bei Guthaben- 
karten sollen strengere Vorschriften zur 
Kundenüberprüfung gelten. 

Der bulgarische Finanzminister Wla- 
dislaw Goranow begründete die Reform 
im Namen der Ratspräsidentschaft als 
Antwort auf das erhöhte Sicherheits- 
bedürfnis in Europa; mit ihr werde der 
Spielraum für Terroristen weiter einge- 
schränkt. Es werde möglich, kriminelle 
Netzwerke zu zerstören. Die Grund- 
rechte und wirtschaftlichen Freihei- 
ten blieben gewahrt. Die aktualisierte 
Richtlinie tritt nach Veröffentlichung 
im EU-Amtsblatt in Kraft. Die Mitglied- 
staaten haben dann 18 Monate Zeit, 
diese in nationales Recht umzusetzen. 
Für einen Teil der Bestimmungen gel- 


Generation der Vorschulkinder soll 
es dann Erinnerungsmappen geben, 
die man später gerne anschaut, weil 
auch die Gesichter zu erkennen sind 
(Simon, Geschwärzte Erinnerung, SZ 
04./05.08.2018, 10). 


ten längere Übergangsfristen. (Krempl, 
Geldwäsche: EU-Staaten besiegeln Fi- 
nanzdatenspeicherung und Aus für an- 
onymen Kryptogeldkauf, www.heise.de 
17.05.2018). 


Österreich 


FPÖ versucht mit Hand- 
streich Geheimdienst 
gleichzuschalten 


Am 29.05.2018 veröffentlichte das 
Wiener Stadtmagazin „Falter“ Mails aus 
dem Innenleben des Bundesamtes für 
Verfassungsschutz und Terrorismusbe- 
kämpfung (BVT), die den Verdacht er- 
härten, dass der Inlandsgeheimdienst 
gezielt sturmreif geschossen werden 
soll. Ende Februar 2018 kam es beim 
BVT und in vier Privatwohnungen zu 
Hausdurchsuchungen; wenig später 
wurde der Behördenleiter Peter Gridling 
vom neuen österreichischen Innenmi- 
nister Herbert Kickl (FPÖ) suspendiert. 
Begründet wurde das spektakuläre Vor- 
gehen mit dem Verdacht des Amtsmiss- 
brauchs gegen führende Mitarbeiter. 

Erhärtet haben sich diese Vorwür- 
fe nicht. Im Parlament gibt es jedoch 
inzwischen einen Untersuchungsaus- 
schuss zur politischen Einflussnahme 
auf das BVT. Es geht um die Frage, ob 
die FPÖ nach Übernahme des Innen- 
ministeriums auch den Geheimdienst 
auf Linie bringen wolle. Die Razzia war 
durch ein anonymes Dossier ausgelöst 
worden, das der Staatsanwaltschaft von 
einem hohen Mitarbeiter Kickls über- 
geben wurde. Auch Belastungszeugen 
wurden vom Innenministerium präsen- 
tiert; eine Zeugin wurde offenkundig 
zur Aussage gedrängt. Zudem stellte 
das Ministerium für die Hausdurch- 
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suchung eine Polizeieinheit ab, die 
eigentlich für Straßenkriminalität zu- 
ständig ist, aber von einem FPÖ-Mann 
geleitet wird. 

Während die Opposition im Untersu- 
chungsausschuss noch über fehlende 
oder geschwärzte Akten klagte, befeu- 
erten die Veröffentlichungen des Stadt- 
magazins die Debatten. Das Blatt gibt 
an, im Besitz einer kompletten Kopie 
des BVT-Ermittlungsakts zu sein und zi- 
tierte aus der Mail eines von den Haus- 
durchsuchungen betroffenen Mitarbei- 
ters an den Generalsekretär des Justiz- 
ministeriums. Von einem „Stasi-Krimi” 
ist da Rede: „Der Angriff erfolgt von 
innen, teilweise werden hier Institutio- 
nen missbraucht, um eine Gewaltenver- 
schiebung in Österreich anzustreben.“ 

Eine BVT-Abteilungsleiterin, aus de- 
ren Büro bei der Hausdurchsuchung 
Material zur rechten Szene in Öster- 
reich abtransportiert wurde, klagt in 
einer Mail an die ermittelnde Staats- 
anwältin darüber, dass sie bei Er- 
mittlungen gegen Rechtsextremisten 
„eingeschränkt werde”. Sie sieht sich 
einer „Hetzjagd” ausgesetzt, die sie 
als „bedrohlich“ empfindet. Ein dritter 
Mitarbeiter schließlich schlägt in einer 
Mail an seinen Vorgesetzten Alarm, weil 
bei der Razzia auch eine Festplatte mit 
hochsensiblen Daten beschlagnahmt 
worden sei. Zum einen gehe es dabei 
um eine Liste von Geheimdienst-Quel- 
len, zum anderen um Informationen zur 
Zusammenarbeit des BVT mit ausländi- 
schen Partnerorganisationen wie dem 
deutschen Bundesnachrichtendienst. 

Die BVT-Razzia hinterlässt offenbar 
schwere Schäden beim Geheimdienst. 
Intern wuchert das Misstrauen; zudem 
ist die notwendige Vertrauensbasis zu 
den Partnerdiensten zerstört. SPÖ-Chef 
Christian Kern forderte deshalb Kickls 
Rücktritt. Der Minister selber aber 
gibt an, man müsse nun in die Zukunft 
schauen und nicht in die Vergangen- 
heit. Am Tag der Publikation der inter- 
nen Mails stellte er Reformpläne für den 
BVT vor. Es werde eine „neue Ära“ ein- 
geleitet: „Heute ist der Tag eins eines 
neuen Staats- und Verfassungsschutzes 
in Österreich.” Sicherer solle das Land 
werden, transparenter die Behörde. Als 
Mann, der dies nun schnellstens umset- 
zen solle, stellte er den alten BVT-Chef 
Peter Gridling vor. Die von Kickl aus- 
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gesprochene Suspendierung hatte das 
Bundesverwaltungsgericht in der Wo- 
che zuvor aufgehoben. Auf die Frage, 
ob noch eine Vertrauensbasis bestehe, 
antwortete Kickl: „Sonst würden wir 
nicht hier sitzen.” Gridling versprach, 
die Aufgabe „professionell wahrzuneh- 
men” (Münch, Mitarbeiter beklagt „Sta- 
si-Krimi”, SZ 30./31.05.2018, 8). 


Italien 
Datenpanne bei Panini 


Der italienische Sammelalbenherstel- 
ler Panini, der seit über 40 Jahren Alben 
mit Klebebildchen vertreibt, hatte gra- 
vierende Probleme mit der Sicherheit 
einer Kundendatenbank. Unbefugte 
hatten persönliche Daten anderer Kun- 
dInnen einsehen können, darunter 
viele Bilder von Minderjährigen. Panini 
bietet über seinen Service „mypanini” 
den Fans an, Fotos mit dem eigenen 
Konterfei hochzuladen und sich perso- 
nalisierte Klebebildchen zuschicken zu 
lassen. Weltmeisterschaften wie 2018 
in Russland sind ein besonders gutes 
Geschäft: Ein Päckchen mit 5 Bildern 
kostet 90 Cent, das gesamte WM-Album 
enthält 682 Motive. Ein Bild können 
SammlerInnen per Selfie oder Foto in- 
dividuell gestalten, wobei die Nutzung 
einer App aus dem Apple oder Google 
Play Store nötig ist. 10 personalisier- 
te Bildchen kosten 9,90 € und werden 
per Post zugesendet. Die Februar 2018 
gestartete App war ein Erfolg. Auf 
den Bildern waren häufig Kinder und 
Kleinkinder zu sehen - viele davon aus 
Deutschland, aber auch aus Ländern 
wie Belgien, Frankreich, Brasilien, Ar- 
gentinien und Australien, manche mit 
nacktem Oberkörper und im privaten 
häuslichen Umfeld. 

Bis zur Fußballweltmeisterschaft im 
Juni 2018 haben eingeloggte Anwen- 
dende auch die hochgeladenen Bilder 
sowie personenbezogene Daten ande- 
rer KundInnen einsehen können. Auf 
vielen der Selfie-Sticker waren der volle 
Name, das Geburtsdatum und auch der 
Wohnort der Betroffenen verzeichnet. 
Hackerkenntnisse bedurfte es dafür 
nicht. Die Bilder konnten über her- 
kömmliche Browser angesteuert wer- 
den; ein versehentlicher Vertipper in 
der URL-Zeile genügte. Auch zahlreiche 


Bilder von KundInnen, die letztlich gar 
keine Abzüge bestellten, waren auf die- 
se Weise einsehbar. 

Paninis Direktor für Neue Medien, 
Giorgio Aravecchia, bestätigte am 
27.06.2018 das Problem. Es sei intern 
seit einigen Tagen bekannt und werde 
schnellstmöglich behoben. Tags darauf 
erklärte er, die Lücke sei durch ein Si- 
cherheitsupdate geschlossen. Das Un- 
ternehmen entschuldigte sich vage für 
„die Unannehmlichkeiten auf unserer 
Seite” und versprach, „Ihre Daten künf- 
tig besser zu schützen“. Wie viele Kun- 
dendatensätze betroffen waren, wollte 
Panini auch nach mehrfacher Nachfra- 
ge nicht offenbaren. 

Der Hamburger Datenschutzbeauf- 
tragte Johannes Caspar bewertete den 
Vorgang als „besonders problema- 
tisch, weil massenhaft Minderjährige 
betroffen sind”. Nach der neu gelten- 
den Datenschutz-Grundverordnung 
(DSGVO) müsse jedes Unternehmen 
technisch und organisatorisch für den 
ausreichenden Schutz personenbezo- 
gener Kundendaten sorgen: „Bei einem 
Verstoß dagegen sowie bei einer Ver- 
letzung der Meldepflicht können nun 
Bußgelder von bis zu 10 Millionen Euro 
oder zwei Prozent des weltweiten Um- 
satzes verhängt werden“ (Fußball-Sam- 
melbildchen: Datenschutzpanne beim 
Online-Dienst von Panini, www.heise. 
de 29.06.2018; Rosenbach, Datenpanne 
bei Panini, Der Spiegel 27/30.06.2018, 
73). 


Schweiz 


Datenschützer gegen Kran- 
kenkassen-Bonus-App 


Der Schweizer Datenschutzbeauf- 
tragte (EDÖB) Adrian Lobsiger hat beim 
dortigen Bundesverwaltungsgericht 
eine Klage gegen die Krankenkasse 
Helsana eingereicht. Die Datenschüt- 
zer beanstanden die Verarbeitung der 
Daten eines Bonusprogramms des Ver- 
sicherers, der mit Rabatten Versicherte 
zu mehr Bewegung animieren möchte. 
Den Datenschützer stört der Daten- 
fluss zwischen gesetzlicher und priva- 
ter Versicherung. Die Helsana hat die 
kritisierte Datenverarbeitung vorläufig 
ausgesetzt, will den Streit aber gegebe- 
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nenfalls bis vor das höchste Schweizer 
Gericht bringen. 

Die App des Bonusprogramms “Helsa- 
na+” soll zu einem bewegungsreicheren 
Lebensstil und zur Vorsorge animieren 
und damit die Gesundheit der Teilneh- 
menden fördern. Sportliche und auch 
andere gesundheitsfördernde Aktivitä- 
ten werden mit Pluspunkten belohnt. Da- 
für erhalten die Versicherten Barauszah- 
lungen oder geldwerte Rückerstattungen 
respektive Rabatte bei Partnerfirmen. 

Daran hat der Datenschutzbeauftrag- 
te grundsätzlich nichts auszusetzen. 
Allerdings empfahl er der Krankenkasse 
Ende April 2018, die Übermittlung von 
Kundendaten zwischen gesetzlicher 
und privater Krankenversicherung, die 
von verschiedenen eigenständigen Un- 
ternehmensteilen angeboten werden, 
im Rahmen des Bonusprogramms Helsa- 
na+ zu unterlassen. Das Programm steht 
sowohl Versicherten in der gesetzlichen 
Grundversorgung als auch KundInnen 
der privaten Zusatzversicherung der 
Helsana offen. Für KundInnen der Zu- 
satzversicherung prüft die Kasse intern 
ab, ob der oder die Versicherte auch 
Mitglied der Grundversicherung ist. 
Dafür geben die Versicherten bei der Re- 
gistrierung für die „Helsana+”-App ihre 
Einwilligung. 

Doch der EDÖB sieht dafür keine 
Rechtsgrundlage. Eine Entgegennah- 
me dieser Grundversicherungs-Daten 
durch die Zusatzversicherung und die 
dort erfolgende Weiterbearbeitung sei 
in datenschutzrechtlicher Hinsicht ge- 
nerell rechtswidrig und die eingehol- 
ten Einwilligungen daher unwirksam. 
Er verlangte schon im Mai 2018 von der 
Versicherung, das zu unterlassen. 

Darüber hinaus fordert der Daten- 
schutzbeauftragte, die Datenverarbei- 
tung der ausschließlich Grundversicher- 
ten im Zusammenhang mit dem Bonus- 
programm zu unterlassen. Teilnehmende 
des Programms können Rückvergütun- 
gen ihrer Versicherungsprämien erhal- 
ten. Solche Rabatte hält der Datenschüt- 
zerim Fallevon ausschließlich gesetzlich 
Versicherten für rechtlich unzulässig. 
Auch für die Querfinanzierung dieser 
Rabatte aus der privaten Zusatzversiche- 
rung gebe es keine rechtliche Grundlage 
(Sperlich, Schweiz: Datenschützer klagt 
gegen Krankenkassen-App, www.heise. 
de 22.06.2018). 
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Türkei 


Flüchtlingsdaten in 
Deutschland bei AKP 


Die türkische Regierungspartei AKP 
erhielt offenbar von Beschäftigten 
deutscher Behörden Informationen 
über Flüchtlinge, die aus der Türkei 
geflohen waren. Ein Türke erhielt we- 
nige Tage, nachdem er in der Außen- 
stelle des Bundesamts für Migration 
und Flüchtlinge (BAMF) in Trier sei- 
nen Asylantrag gestellt hatte, einen 
Brief an die ihm vom BAMF zugewie- 
sene Flüchtlingsunterkunft. Darin bat 
der türkische Präsident und AKP-Chef 
Recep Tayyip Erdogan darum, ihn und 
seine Partei bei der Parlaments- und 
Präsidentschaftswahl am 25.06.2018 
zu wählen. Ähnliche aus Deutsch- 
land abgeschickte Schreiben haben 
viele türkische Staatsangehörige in 
Deutschland erhalten, obwohl in der 
Türkei Wahlwerbung im Ausland ver- 
boten ist. Der betroffene politische 
Flüchtling ist ein Anhänger der Gülen- 
Bewegung, die von Erdogan für den 
gescheiterten Putschversuch Juli 2016 
verantwortlich gemacht und deshalb 
verfolgt wird. Sein Kölner Anwalt Ra- 
mazan Sevinc hält es für möglich, dass 
Beschäftigte vom BAMF oder anderen 
deutschen Behörden die Adressen an 
eine türkische diplomatische Vertre- 
tung weitergeben: „Anders ist kaum zu 
erklären, wie die persönlichen Daten 
meines Mandanten so schnell nach An- 
kara gelangt sind.” Er hält die Sicher- 
heit seines Mandanten für gefährdet. 
Das BAMF erklärte, dass Schutzsuchen- 
de mit vielen Behörden und Dienstleis- 
tern zu tun hätten. Im konkreten Fall 
sein ein Datenschutzdefizit seitens des 
BAMF nicht feststellbar gewesen (Bri- 
sante Wahlwerbung, Der Spiegel Nr. 26 
23.06.2018, S. 13). 


USA 


Kalifornien verabschiedet 
Internet-Datenschutzge- 
setz 

Gegen den Widerstand vieler Un- 


ternehmen im Silicon Valley hat der 
US-Bundesstaat Kalifornien ein Ge- 


setz für einen besseren Datenschutz 
von Internetnutzern verabschiedet. 
Der „California Consumer Privacy Act” 
wurde am 28.06.2018 vom Senat und 
Repräsentantenhaus des US-Bundes- 
staates gebilligt und von Gouverneur 
Jerry Brown unterzeichnet. Inspiriert 
von der seit Ende Mai in der EU gel- 
tenden Datenschutzgrundverordnung 
(DSGVO) soll das Gesetz am 01.01 2020 
in Kraft treten. 

Das Gesetz verpflichtet Unter- 
nehmen offenzulegen, welche Kun- 
den- und Nutzerdaten sie speichern. 
Gleichzeitig sollen kalifornische Nut- 
zende die Möglichkeit erhalten, die 
Verwendung ihrer persönlichen Daten 
zu kommerziellen Zwecken zu unter- 
sagen. Unter anderem sollen die In- 
ternetfirmen einen Link anbieten, mit 
dem Nutzende ohne großen Aufwand 
den Weiterverkauf ihrer Daten unter- 
sagen können. Gemäß der Einschät- 
zung von Medien und Verbänden ist es 
das erste Gesetz dieser Artin den USA. 
Kalifornien reagiert damit auch auf 
den Skandal beim Internetkonzern 
Facebook, der wegen seines Umgangs 
mit persönlichen Daten unter massi- 
vem Druck steht. 

Dabei ging es um das Abschöpfen 
von Informationen über 87 Millionen 
Nutzer, die bei der Datenanalyse- 
Firma Cambridge Analytica gelandet 
waren. Die Daten sollen dann uner- 
laubt für den Wahlkampf des heutigen 
US-Präsidenten Donald Trump genutzt 
worden sein; konkrete Beweise für 
diese These fehlen aber bislang. Goog- 
le, der Verband der Internet Associa- 
tion, dem auch Amazon und Facebook 
angehören, sowie Verbände von Han- 
del und Werbewirtschaft hatten sich 
gegen den Gesetzentwurf ausgespro- 
chen. Auch eine Gesetzesinitiative 
mit vergleichbaren Zielen, die sich 
nun erübrigt hat, hatten Google, Ama- 
zon, Microsoft, Facebook, mehrere 
Telefonanbieter und Werbeunterneh- 
men bekämpft (Neues Bundesgesetz 
verabschiedet Kalifornien nimmt sich 
EU-Datenschutz zum Vorbild, www. 
spiegel.de 29.06.2018). 
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Technik-Nachrichten 


Paypal: Fingerabdruck- 
Authentizierung als Grund- 
einstellung 


Verbraucherschützer kritisieren, dass 
der Bezahldienst Paypal laut seinen neu 
veröffentlichten Datenschutzgrundsät- 
zen Fingerabdrücke auf den Smartpho- 
nes oder Tablets seiner rund 20 Milli- 
onen deutschen Nutzenden speichert 
und nutzt. Damit das Einloggen bei 
PayPal in der PayPal-App per Fingerab- 
druck funktioniert, generiert PayPal 
einen Token und speichert den Token 
lokal auf dem Gerät. Dieser Token liegt 
in einer Sandbox-Umgebung, auf die 
lediglich die PayPal-App zugreifen kann 
und die lediglich von der PayPal-App 
gelesen werden kann, wenn der Kunde 
zum Anmelden seinen Finger auf das Ge- 
räthält. Die PayPal-App oder der PayPal- 
Server erhalten dabei keinen Zugriff auf 
die Fingerabdruckdaten. 

Carola Elbrecht vom Marktwächter- 
Team des Bundesverbandes der Ver- 
braucherzentralen (vzbv) erklärte: „Aus 
meiner Sicht verstößt das gegen den Da- 
tenschutz, denn Unternehmen dürfen 
biometrische Daten wie Fingerabdrücke 
grundsätzlich nur mit ausdrücklicher 
Zustimmung ihrer Kunden erfassen.” 
Paypal speichert auch Standortdaten 
und kann einsehen, welche Apps die 
Nutzer auf ihren Smartphones oder Ta- 
blets installiert haben. Eine Sprecherin 
des Unternehmens erklärte hierzu, die 
Nutzenden könnten laut der Daten- 
schutzgrundsätze die Einstellungen 
ihrer Mobilgeräte ändern, wenn sie die 
Erfassung der darauf gespeicherten In- 
formationen beschränken wollten. Hie- 
rauf erwiderte Verbraucherschützerin 
Elbrecht, Paypal könnte seine Finanz- 
dienste auch ohne Fingerabdrücke und 
Standortdaten anbieten. 

Der Bezahldienst begründete die Nut- 
zung der Daten damit, so die Sicherheit 
und die Werbung zu verbessern. So kön- 
ne Paypal erkennen, wenn Kontozu- 
griffe nicht zum Standort eines Nutzers 
passen, oder den Nutzern auf Wunsch 
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zum Aufenthaltsort und zu ihren Inte- 
ressen passende Werbung einspielen. 
Der US-Bezahldienst hatte seine Daten- 
schutzgrundsätze wegen der seit 25. 
Mai geltenden neuen EU-Regeln zum 
Datenschutz überarbeitet (Verbraucher- 
schützer kritisieren Speicherung von 
Fingerabdrücken bei Paypal, epochti- 
mes.de 31.05./02.06.2018). 


Genanlagen haben beding- 
ten Einfluss auf Schulerfolg 


Nach einer Analyse des Erbguts von 
mehr als einer Million Menschen fand 
eine internationale Forschergruppe 
1.271 genetische Varianten, die Einfluss 
auf den im Leben erreichten Bildungs- 
stand eines Menschen haben sollen. Mit 
Hilfe von Genanalysen wäre es danach 
möglich, den Bildungserfolg eines Men- 
schen vorherzusagen. 

Wie erfolgreich jemand durch die 
Schule kommt, hängt jedoch von vie- 
len Einflüssen ab: von den Lehrkräften, 
der eigenen Motivation, dem Einkom- 
men der Eltern sowie deren Hilfestel- 
lung - aber eben auch von den eigenen 
Genen. Gemäß der Analyse der inter- 
nationalen Forschergruppe, so deren 
Veröffentlichung im Fachblatt Nature 
Genetics, könnten die 1.271 gefunde- 
nen Erbanlagen gut zehn Prozent des 
schulischen Erfolgs erklären. Die gene- 
tische Ausstattung ermögliche es, so 
WirtschaftswissenschaftlerInnen, Sta- 
tistikerInnen und GenetikerInnen um 
die Ökonomin Aysu Okbay von der Vrije 
Universiteit in Amsterdam, sogar zum 
Teil, den Bildungserfolg eines Men- 
schen vorherzusagen. Okbay befasst 
sich seit ihrer Doktorarbeit mit der ge- 
netischen Basis von wirtschaftlichem 
und sozialem Erfolg. Zusammen mit 
mehr als 200 KollegInnen hat sie die 
genetischen Daten von 1,1 Millionen 
Menschen ausgewertet. Eine so große 
Zahl von Versuchsteilnehmenden ist 
bei solchen sogenannten genetischen 
Assoziationsstudien notwendig, um 
halbwegs brauchbare statistische Si- 


cherheit für die zum Teil sehr kleinen 
Effekte zu bekommen. 

Einige der nun identifizierten Genva- 
rianten betreffen die Gehirnentwicklung 
des Kindes vor und nach der Geburt sowie 
die Signalübertragung in Nervenzellen. 
Neben indirekten Einflüssen, zum Bei- 
spiel durch das mehr oder weniger för- 
dernde Verhalten der Eltern, entfalte die 
Genetik sicherlich den stärksten Beitrag 
über die Beeinflussung der eigenen Ge- 
hirnfunktionen, erklärt Markus Nöthen, 
Direktor des Instituts für Humangenetik 
an der Uniklinik Bonn: „Natürlich ist die 
Genetik nicht alleine für den erreichten 
Bildungsstand verantwortlich, auch dies 
zeigt sich sehr überzeugend in der vorlie- 
genden Studie. Die Umgebung spielt eine 
große Rolle. Wahrscheinlich sind geneti- 
sche und Umgebungseinflüsse aber eng 
verwoben.” Das und die Rolle der Eltern 
betont auch die Forschergruppe in ihrem 
Fachaufsatz. 

Elsbeth Stern, Professorin für Lehr- 
und Lernforschung von der Eidgenössi- 
schen Technischen Hochschule in Zü- 
rich, bezweifelt, dass sich künftig Gen- 
tests nutzen lassen, um SchülerInnen 
gezielt zu fördern. Sobald ein Baby auf 
derWelt sei, gebe es bessere Indikatoren: 
„Aus der Art und Weise, wie Babys Objek- 
te anschauen, kann man mehr als 13 Pro- 
zent der späteren Intelligenzunterschie- 
de vorhersagen.” Auch fast alle Entwick- 
lungsstörungen ließen sich mit größerer 
Genauigkeit aus Verhaltensbeobachtung 
ermitteln als mit Genanalysen. 

Okbay und ihre KollegInnen weisen 
selbst daraufhin, dass die Vorhersage des 
schulischen Erfolgs vor allem für Men- 
schen mit europäischen genetischen Wur- 
zeln funktioniere, bei Versuchsteilneh- 
menden mit afrikanischer Abstammung 
die Vorhersagekraft aber deutlich sinke. 
Sie vermuten, dass dies auch für andere 
nicht-europäischen Bevölkerungsgrup- 
pen der Fall ist; getestet haben sie das 
aber noch nicht. Laut Elsbeth Stern wäre 
ein Mangel an Chancengleichheit für 
Menschen unterschiedlicher Hautfarbe 
eine Erklärung dafür: „Menschen afro- 
amerikanischer Herkunft erhalten nicht 
die Entwicklungs- und Lerngelegenhei- 
ten, die es ermöglichen, ihr genetisches 
Potenzial voll auszuschöpfen. Das haben 
bereits frühere Zwillingsstudien gezeigt” 
(Charisius, Lesen, Schreiben und Gene- 
tik, SZ 24.07.2018, 14). 
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Rechtsprechung 


EGMG 


„Recht auf Vergessen” hat 
Voraussetzungen 


Gemäß einem Urteil des Europäi- 
schen Gerichtshofs für Menschenrechte 
(EGMR) vom 28.06.2018 stand den Mör- 
dern des Schauspielers Walter Sedlmayr 
2010 kein Recht auf Vergessenwerden 
zu, da sie einst selbst um eine Bericht- 
erstattung in ihrer Sache gebeten haben 
(Az. 60798/10 und 65599/10). 1990 
wurde der bayerische Schauspieler Wal- 
ter Sedlmayr getötet. Der Fall erregte 
damals großes öffentliches Interesse 
in den Medien. Noch heute finden sich 
im Internet vereinzelt Informationen 
zu den Umständen der Tat. Die beiden 
Täter, die, 14 bzw. 15 Jahre nach ihren 
Verurteilungen wegen Mordes 2007 und 
2008 aus der Haft entlassen wurden, 
wollten von der Öffentlichkeit „verges- 
sen werden“. Ein solches Recht gibt 
es zwar, wurde den Männern jedoch 
vom Bundesgerichtshof (BGH) mit Ur- 
teil vom 09.02.2010 verwehrt (DANA 
2/2010, 90). Diese Entscheidung wurde 
nun vom EGMR bestätigt. 

Die beiden Männer hatten gegen drei 
Medienhäuser (Spiegel, Mannheimer 
Morgen, Deutschlandfunk) geklagt, die 
auch noch Jahre nach der Tat über die 
Ereignisse berichteten und entspre- 
chendes Informationsmaterial in ihren 
Online-Archiven zur Verfügung stellten. 
Dort konnten Artikel oder Beiträge ein- 
gesehen werden, indenen dieNamen der 
Mörder genannt oder Bilder von ihnen 
gezeigt wurden. Die Beschwerdefüh- 
rer sahen dadurch ihr Menschenrecht 
auf Achtung des Privatlebens (Art. 8 
EMRK) verletzt und zogen ohne Erfolg 
vor den EGMR. Die Straßburger Rich- 
ter führten aus, dass die Pressefreiheit 
es Journalisten erlaube, selbst zu ent- 
scheiden, welche Details sie veröffent- 
lichen, erst recht dann, wenn wie beim 
Mord an Sedlmayr ein großes öffentli- 
ches Interesse bestehe und die Täter 
selbst um Berichterstattung in eigener 
Sache gebeten hätten. 2004 hatten sie 
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die Wiederaufnahme des Verfahrens 
angestrebt und waren im Zuge dessen 
selbst an die Medien herangetreten mit 
der Bitte, erneut über die Einzelheiten 
zu berichten. Dadurch sei ein Recht auf 
Vergessenwerden wieder in die Ferne 
gerückt, so der EGMR. 

Dies gelte nur, wenn die Berichter- 
stattung nicht gegen ethische Normen 
verstoße. Ein solcher Verstoß liege 
etwa dann vor, wenn die Medien be- 
wusst unwahre Tatsachen verbreiteten. 
An der Wahrhaftigkeit der Berichter- 
stattung hatte der EGMR jedoch keine 
Zweifel. Zu berücksichtigen sei auch 
die nur eingeschränkte Verfügbarkeit 
der Artikel. Denn um das entsprechen- 
de Material abrufen zu können, war es 
teilweise erforderlich, das jeweilige Me- 
dium zu abonnieren bzw. für den Abruf 
zu zahlen. Eine solche Veröffentlichung 
in einem Online-Archiv bleibe deutlich 
zurück hinter einer aktuell abrufbaren 
Veröffentlichung im Internet oder in ei- 
ner Mediathek. 

Mit seinem Urteil befindet sich der 
EGMR auf einer Linie mit dem ange- 
griffenen Urteil des BGH. Auch damals 
wurde dem öffentlichen Interesse an 
der Berichterstattung der Vorrang ge- 
genüber dem Persönlichkeitsrecht der 
Täter eingeräumt. Es steht in der Tra- 
dition des bekannten Lebach-Urteils 
des deutschen Bundesverfassungsge- 
richts aus dem Jahr 1973, beidem es um 
die ZDF-Berichterstattung über einen 
Überfall von zwei Männern auf ein Mu- 
nitionsdepot nahe der saarländischen 
Kleinstadt Lebach ging, bei der vier Sol- 
daten ermordet worden waren und bei 
dem Homosexualität eine Rolle gespielt 
hatte. Auch der EGMR bekräftigte die 
Bedeutung des „Rechts auf Vergessen”, 
gerade in Zeiten des Internets, weshalb 
die Frage der Datenlöschung immer 
auch unter dem Aspekt der inzwischen 
verflossenen Zeit zu beantworten ist. 
Der EGMR stellte bei seinem Urteil auf 
das Jahr 2010 ab. Dies kann zur Folge 
haben, dass bei dem Fall im Jahr 2018, 
also eine Dekade nach der Entlassung 
und mehr als ein Vierteljahrhundert 


nach dem Mord, der Resozialisierung 
der Vorrang einzuräumen ist. Die Spie- 
gel-Verlagsgruppe, deren Online-Portal 
„Spiegel Online“ ein Dossier über die Ge- 
schichte des Mordes zum Abrufbereitge- 
stellt hatte, begrüßte die Entscheidung: 
„Die im öffentlichen Interesse liegende 
Funktion eines Online-Archivs als ‚his- 
torisches Gedächtnis’ einer Gesellschaft 
bleibt damit erhalten” (Kein Recht auf 
Vergessenwerden für Sedlmayr-Mörder, 
www.lto.de 28.06.2018; Janisch, Ewig 
am Pranger, SZ 29.06.2018, 1). 


EuGH 


Datensammeln der Zeugen 
Jehovas unterfällt Daten- 
schutz 


Mit Urteil vom 10.07.2017 entschied 
der Europäische Gerichtshofs (EuGH) 
in Luxemburg, dass die personenbezo- 
genen Daten, die anlässlich der Haus- 
besuche der Glaubensgemeinschaft der 
Zeugen Jehovas anfallen, unter das 
europäische Datenschutzrecht fallen 
(C-25/17). Im Rahmen ihrer sogenann- 
ten Verkündigungstätigkeit gehen die 
Mitglieder der Zeugen Jehovas von Haus 
zu Haus und klingeln, um mit den Be- 
wohnerInnen zu sprechen. 2013 hatte 
die Tietosuojalautakunta, die finnische 
Datenschutzkommission, den Zeugen 
Jehovas verboten, sich Notizen zu ma- 
chen, ohne auf den Datenschutz zu 
achten. Die finnischen Mitglieder der 
Religionsgemeinschaft schrieben of- 
fenbar nicht nur die Adressen der Be- 
fragten auf, sondern hielten auch fest, 
welche religiösen Überzeugungen die 
Befragten haben und in welchen Fami- 
lienverhältnissen sie leben. Diese Infor- 
mationen fließen laut Darstellung des 
Gerichts in Gebietskarten ein, mit de- 
nen die Rundgänge organisiert werden. 

Die Daten werden gemäß dem EuGH 
als Gedächtnisstütze erhoben, um für 
den Fall eines erneuten Besuchs wie- 
derauffindbar zu sein, ohne dass die be- 
troffenen Personen hierin eingewilligt 
hätten oder darüber informiert worden 
wären. Außerdem führen die Gemein- 
den der Gemeinschaft eine Liste der Per- 
sonen, die darum gebeten haben, nicht 
mehr von den Verkündigern aufgesucht 
zu werden. Die in dieser Liste enthalte- 
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nen personenbezogenen Daten werden 
von den Mitgliedern der Gemeinschaft 
verwendet. 

Ähnlich wie die finnische Daten- 
schutzbehörde sieht auch der EuGH in 
der Tätigkeit der Zeugen Jehovas - an- 
ders als von diesen vorgebracht - keine 
ausschließlich persönliche oder famili- 
äre Tätigkeit, wofür die Datenschutzre- 
geln nicht gelten würden. Der Umstand, 
dass die Verkündungstätigkeit von 
Tür zu Tür durch das in Art. 10 Abs. 1 
Grundrechte-Charta verankerte Grund- 
recht auf Gewissens- und Religionsfrei- 
heit geschützt ist, verleihe ihr keinen 
ausschließlich persönlich-familiären 
Charakter, da sie über die private Sphä- 
re eines als VerkünderInnen tätigen 
Mitglieds der Religionsgemeinschaft 
hinausgeht. Dass die Daten nicht digi- 
tal, sondern handschriftlich vorliegen, 
ändere nichts daran, dass Daten gesam- 
melt würden. Diese seien zudem durch- 
aus nach bestimmten Kriterien als „Da- 
tei” strukturiert, damit man sie später 
leichter finden könne. 

Das Gericht entschied, dass „eine Re- 
ligionsgemeinschaft gemeinsam mit ih- 
ren als Verkündiger tätigen Mitgliedern 
als Verantwortliche für die Verarbeitung 
personenbezogener Daten angesehen 
werden kann.” Diese Akteure können 
in verschiedenen Phasen und in unter- 
schiedlichem Ausmaß in die Verarbei- 
tung einbezogen sein, so dass der Grad 
der Verantwortlichkeit eines jeden von 
ihnen unter Berücksichtigung aller 
maßgeblichen Umstände des Einzelfalls 
zu beurteilen ist. Der Gerichtshof stellte 
außerdem fest, dass aus keiner Bestim- 
mung des Unionsrechts geschlossen 
werden kann, dass die Entscheidung 
über die Zwecke und Mittel der Verarbei- 
tung mittels schriftlicher Anleitungen 
oder Anweisungen seitens des für die 
Verarbeitung Verantwortlichen erfolgen 
muss. Hingegen kann eine natürliche 
oder juristische Person, die aus Eigen- 
interesse auf die Verarbeitung der per- 
sonenbezogenen Daten Einfluss nimmt 
und damit an der Entscheidung über die 
Zwecke und Mittel dieser Verarbeitung 
beteiligt ist, als für die Verarbeitung 
Verantwortlicher angesehen werden. 
Im Übrigen setze die gemeinsame Ver- 
antwortlichkeit mehrerer Akteure nicht 
voraus, dass jeder von ihnen Zugang zu 
den personenbezogenen Daten hat. 
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Der Fall kam vor den EuGH, weil der 
Korkein hallinto-oikeus, der Oberste 
Verwaltungsgerichtshof Finnlands, an 
den EuGH ein sogenanntes Vorabent- 
scheidungsersuchen gerichtet hatte. 
Über diesen Weg können Gerichte der 
EU-Mitgliedstaaten in einem bei ihnen 
anhängigen Rechtsstreit auf EU-Ebene 
erfragen, wie der EuGH die Rechtsfra- 
gen sieht. Ein nationales Urteil ersetzt 
der EuGH-Spruch aber nicht (Tack, Eu- 
GH-Urteil Zeugen Jehovas müssen bei 
Hausbesuchen auf Datenschutz achten, 
www.spiegel.de 10.07.2018; EuGH, PM 
Nr. 103/18 v. 10.07.2018). 


BVerwG 


De-CIX-Klage gegen strate- 
gische TK-Uberwachung des 
BND abgewiesen 


Gemäß einem Urteil des Bundesver- 
waltungsgerichts (BVerwG) in Leipzig 
vom 30.05.2018 in erster und letzter 
Instanz darf der Bundesnachrichten- 
dienst (BND) weiterhin am Internet- 
Knoten De-CIX aus Frankfurt am Main 
anlasslos Daten abgreifen (Az. 6 A 3.16). 
Dies wollte der Betreiber von De-CIX mit 
seiner Klage unterbinden. Das BVerwG 
stellte fest, der Betreiber könne ver- 
pflichtet werden, bei der strategischen 
Fernmeldeüberwachung durch den BND 
mitzuwirken. Der Geheimdienst sei be- 
rechtigt, auf Anordnung des Bundes- 
innenministeriums internationale Te- 
lekommunikation zu überwachen und 
aufzuzeichnen. 

Der BND zapft nach dem Gesetz zur 
Beschränkung des Brief-, Post- und 
Fernmeldegeheimnisses (Art. 10-Ge- 
setz) seit Jahren zu Aufklärungszwe- 
cken in großem Stil Daten aus dem 
- nach Verkehrsaufkommen - größten 
Internet-Knotenpunkt der Welt ab. Da- 
bei erhalten die Geheimdienstler die Da- 
ten nicht nur aufgrund eines konkreten 
Tatverdachts, sondern im Zuge der stra- 
tegischen Fernmeldeüberwachung, also 
anlasslos. Rechtsanwalt Sven-Erik Heun 
erklärte für die Klägerseite in der rund 
dreistündigen Verhandlung: „Der BND 
hat sich den größten Teich ausgesucht, 
in dem er fischen kann.” Wer sich an 
De-CIX wende, bekomme einen riesigen 
Datensatz, in dem auch nationaler Tele- 


kommunikationsverkehr vorhanden ist, 
was nach Ansicht von Heun rechtswid- 
rig ist. Außerdem erhebe der BND den 
Datenverkehr eines bestimmten Proto- 
kolls vollständig, ohne die gesetzlich 
vorgesehene quantitative Beschrän- 
kung auf 20 Prozent. 

Aus Sicht des De-CIX ließen die An- 
ordnungen aus dem Bundesinnenmi- 
nisterium überdies nicht erkennen, ob 
sie das zuständige Kontrollgremium 
des Bundestags durchlaufen haben. Im 
Zuge des NSA-Untersuchungsausschus- 
ses war herausgekommen, dass bei De- 
CIX abgegriffene Daten über den BND 
wahrscheinlich an die NSA gelangten. 
Dagegen machte Rechtsanwalt Wolfgang 
Roth für die Bundesregierung geltend, 
als Schutz für von Überwachungen Be- 
troffene gebe es die G-10-Kommission 
des Bundestages, welche die Eingriffe 
in das Fernmeldegeheimnis erlaube. 
Eine detailliertere Anordnung könne es 
aufgrund der Geheimhaltung aber nicht 
geben, erklärte Roth. 

Dieser Argumentation folgte der 
6. Senat des BVerwG. Dem gemäß legt 
das Bundesinnenministerium die Über- 
tragungswege sowie den Umfang des 
Überwachungsmaterials fest und kann 
einen Betreiber von Telekommunikati- 
onsdiensten, wie De-CIX, verpflichten, 
den BND bei der Überwachung zu un- 
terstützen. Ob und in welchem Umfang 
das verpflichtete Unternehmen Vorkeh- 
rungen zu treffen hat, richte sich letzt- 
lich nach 8 27 Abs. 2 der Telekommu- 
nikations-Überwachungsverordnung 
(TKÜV). Danach hat der Verpflichtete 
dem BND an einem Übergabepunkt im 
Inland eine vollständige Kopie der Te- 
lekommunikation bereitzustellen, die 
über die in der Anordnung bezeichne- 
ten Übertragungswege übertragen wird. 
Auf der Grundlage der Beschränkungsa- 
nordnung wählt der BND gegenüber dem 
Telekommunikationsdiensteanbieter 
diejenigen Übertragungswege aus, die 
überwacht werden sollen. Die Haftung 
und Verantwortung liege nicht beim 
Betreiber, sondern beim Bundesinnen- 
ministerium. Die Betreiber von De-CIX 
könnten sich als reine TK-Vermittler 
auch nicht auf den Schutz des Fernmel- 
degeheimnisses des Art. 10 Grundge- 
setz (GG) berufen. 

Die Betreiber des Internetknotens 
De-CIX wollen gegen das Urteil mit einer 


137 


Beschwerde beim Bundesverfassungs- 
gericht vorgehen, um sich nicht länger 
als Komplizen bei den damit verknüpf- 
ten Eingriffen ins Fernmeldegeheimnis 
verdingen zu lassen, so Klaus Lande- 
feld, Aufsichtsrat der Management- 
Gesellschaft: „Wir sind uns mit unserem 
Gang nach Karlsruhe sehr sicher”. Die 
ausgemachten „umfassenden Verstöße” 
gegen Art. 10 GG und das darin verbrief- 
te Kommunikationsgeheimnis hatte 
De-CIX zwar in das Verfahren in Leipzig 
eingebracht und detailliert dargelegt. 
Sie seien jedoch vom BVerwG „aus für 
uns nicht nachvollziehbaren Gründen” 
nicht behandelt worden. Die Leipziger 
Entscheidung werfe Fragen zum effek- 
tiven Rechtsschutz auf. So könnten 
BürgerInnen ohne die erforderlichen 
Detailkenntnisse nicht darlegen, dass 
sie selbst von der BND-Überwachung in 
Frankfurt betroffen seien. Die verpflich- 
teten Unternehmen wiederum dürften 
die Rechte der BürgerInnen nicht gel- 
tend machen. 

Parallel plant die De-CIX-Managem- 
entgesellschaft laut Landefeld eine 
zweite Klage vor dem BVerwG. Auf die- 
sem Weg solle sichergestellt werden, 
dass „die eigenen Grundrechte des Un- 
ternehmens und seiner Mitarbeiter als 
Kommunikationsteilnehmer geltend 
gemacht und effektiv sichergestellt 
werden können” (Gerichtsurteil: BND 
darf weiterhin Internet-Knoten De-CIX 
anzapfen, www.heise.de 31.05.2018; 
BVerwG, PMNr. 38/2918 v. 31.05.2018, 
Klage der DE-CIX Management GmbH 
erfolglos; Krempl, BND-Überwachung: 
De-CIX-Betreiber will vors Bundes- 
verfassungsgericht, www.heise.de 
31.05.2018). 


VGH Baden-Württemberg 


Schleierfahndungsregelung 
zu unbestimmt 


Der Verwaltungsgerichtshof (VGH) 
Baden-Württemberg in Mannheim be- 
stätigte mit Urteil vom 13.02.2018 eine 
Entscheidung des Verwaltungsgerichts 
(VG) Stuttgart, dass die Ermächtigung 
zur sog. Schleierfahndung in 8 23 Abs. 1 
Bundespolizeigesetz (BPolG) europa- 
rechtswidrig sei (1 S 1469/17). Ein aus 
Afghanistan stammender Deutscher war 
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im ICE von Berlin nach Freiburg in der 
Gegend von Offenburg als einziger von 
mehreren Personen im Erste-Klasse- 
Bereich kontrolliert worden. Die Vor- 
schrift verstoße wegen Unbestimmtheit 
gegen den Schengener Grenzkodex. Die 
mit „VS-nfD” (Verschlusssache - nur für 
den Dienstgebrauch) überschriebenen 
internen Weisungen der Bundespolizei 
seien keine wirksamen Begrenzungen 
behördlichen Handelns. Der VGH weist 
im Rahmen der Entscheidung darauf 
hin, dass aufgrund der Rechtsprechung 
des Europäischen Gerichtshofs (EuGH) 
- abweichend von früherer Rechtspre- 
chung des Bundesverwaltungsgerichts 
- Verwaltungsvorschriften öffentlich 
bekannt zu machen sind. Das VG Stutt- 
gart hatte die Berufung ausdrücklich 
zugelassen, weil durch die millionenfa- 
chen Kontrollen durch die Bundespoli- 
zei das Verfahren Grundsatzbedeutung 
habe. Der VGH ließ allerdings die Revisi- 
on nicht zu (ANA-ZAR 2/2018, 21). 


BGH 


Erben haben Zugriff auf 
Verstorbenen-Accounts 


Der Bundesgerichtshof (BGH) in 
Karlsruhe hat mit einem Urteil vom 
12.07.2018 letztinstanzlich entschie- 
den, dass Erben auf das Facebook-Konto 
eines Verstorbenen zugreifen dürfen 
(Az. III ZR 183/17). Die Richter hoben 
damit ein Urteil des Berliner Kammerge- 
richts (KG) auf, das die bisherige Sperre 
unter Verweis auf das Fernmeldege- 
heimnis bestätigt hatte (DANA 3/2017, 
176 £., zur Vorentscheidung des LG Ber- 
lin DANA 1/2016, 40 £.). 

Der Vorsitzende Richter Ulrich Herr- 
mann begründete die Entscheidung 
bei der Urteilsverkündung damit, dass 
auch Briefe und Tagebücher an die Er- 
ben übergehen. Es bestehe kein Grund, 
digitale Inhalte anders zu behandeln. 
Die Tochter habe mit Facebook einen 
Nutzungsvertrag geschlossen, und die 
Eltern seien als Erben in diesen Vertrag 
eingetreten. Durch Facebooks Bestim- 
mungen sei ein Vererben des Vertrags 
nicht ausgeschlossen. Konkret ging es 
um den Zugang zum Facebook-Account 
eines 15-jährigen Mädchens, das in Ber- 
lin 2012 unter ungeklärten Umständen 


von einer U-Bahn erfasst worden war 
und später im Krankenhaus starb. 

Die Eltern wünschen sich Gewissheit 
darüber, ob es sich um einen Unfall oder 
einen Suizid gehandelt hat. Daher woll- 
ten sie wissen, welche Nachrichten ihre 
Tochter auf Facebook ausgetauscht hat. 
Als Klägerin trat die Mutter auf. Sie hofft 
zudem, dass ihr die Nachrichten helfen, 
Schadenersatzansprüche des U-Bahn- 
Fahrers abzuwehren. 

Nach eigener Aussage kannten die 
Eltern das Facebook-Passwort des Mäd- 
chens, das sich mit 14 Jahren im Netz- 
werk angemeldet hatte. Als sie sich aber 
nach dessen Tod in sein Konto einlog- 
gen wollten, klappte das nicht mehr: 
Das Konto befand sich bereits im soge- 
nannten Gedenkzustand, einem Profil- 
status für Verstorbene. Facebook hatte 
das nach dem Hinweis eines den Eltern 
unbekannten Nutzers auf den Tod des 
Mädchens veranlasst. Wird ein Konto in 
den „Gedenkzustand” versetzt, bleibt 
das Profil als eine Art virtuelles Kondo- 
lenzbuch online und ist für alle Nutzen- 
den sichtbar, die es auch vorher sehen 
konnten. 

Facebook weigerte sich auf Nachfra- 
ge, den Eltern Zugriff auf das Konto und 
die Chatnachrichten des Mädchens zu 
geben; die Mutter zog deshalb gegen 
das Unternehmen vor Gericht. Face- 
book rechtfertigte seine Haltung damit, 
dass der „Gedenkzustand” nicht nur die 
Rechte toter Nutzender schütze, son- 
dern auch die von ihren Facebook-Kon- 
takten. Diese würden davon ausgehen, 
dass private Nachrichten privat bleiben. 

Der Vorsitzende Richter Ulrich Herr- 
mann hatte die Position von Facebook 
in der Verhandlung bereits kritisch hin- 
terfragt: Mit dem Passwort hätten sich 
die Eltern schon zu Lebzeiten des Mäd- 
chens im Konto anmelden können. Es 
sei damit fraglich, ob das Vertrauen der 
anderen Nutzenden, dass niemand mit- 
lese, wirklich schutzwürdig sei. 

Vor der Entscheidung war umstrit- 
ten, ob digitale Inhalte vererbt werden 
können, insbesondere Daten, die sich 
nicht - vergleichbar mit dem Tagebuch 
- ausschließlich zu Hause auf der Fest- 
platte oder einem Datenträger befinden, 
sondern auf einem fremden Server. Die 
Richter haben nun entschieden, dass 
der Vertrag über ein Benutzerkonto bei 
einem sozialen Netzwerk grundsätzlich 
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im Rahmen der Gesamtrechtsnachfolge 
nach 8 1922 Abs. 1 BGB auf die Erben 
des ursprünglichen Kontoberechtig- 
ten übergeht. Dessen Vererblichkeit 
sei nicht durch die vertraglichen Be- 
stimmungen ausgeschlossen. Die Nut- 
zungsbedingungen enthalten hierzu 
keine Regelung. Die Klauseln zum Ge- 
denkzustand sind bereits nicht wirksam 
in den Vertrag einbezogen. Sie hielten 
überdies einer Inhaltskontrolle nach 
8 307 Abs. 1 und 2 BGB nicht stand und 
wären daher unwirksam. Diese hätten 
gegenüber dem Netzwerkbetreiber so ei- 
nen Anspruch aufZugang zu dem Konto 
einschließlich der darin vorgehaltenen 
Kommunikationsinhalte. 

Aus dem Wesen des Vertrags ergebe 
sich nicht eine Unvererblichkeit des 
Vertragsverhältnisses; dieser sei nicht 
höchstpersönlicher Natur. Der höchst- 
persönliche Charakter folge nicht aus 
im Nutzungsvertrag stillschweigend 
vorausgesetzten und damit immanen- 
ten Gründen des Schutzes der Persön- 
lichkeitsrechte der Kommunikations- 
partner der Erblasserin. Zwar mag der 
Abschluss eines Nutzungsvertrags mit 
dem Betreiber eines sozialen Netzwerks 
in der Erwartung erfolgen, dass die 
Nachrichten zwischen den Teilnehmen- 
den des Netzwerks jedenfalls grund- 
sätzlich vertraulich bleiben und nicht 
durch die Beklagte dritten Personen 
gegenüber offengelegt werden. Die ver- 
tragliche Verpflichtung Facebooks zur 
Übermittlung und Bereitstellung von 
Nachrichten und sonstigen Inhalten 
sei jedoch von vornherein kontobezo- 
gen. Sie habe nicht zum Inhalt, diese an 
eine bestimmte Person zu übermitteln, 
sondern an das angegebene Benutzer- 
konto. Der Absender einer Nachricht 
könne dementsprechend zwar darauf 
vertrauen, dass die Beklagte sie nur für 
das von ihm ausgewählte Benutzerkon- 
to zur Verfügung stellt. Es besteht aber 
kein schutzwürdiges Vertrauen darauf, 
dass nur der Kontoinhaber und nicht 
Dritte von dem Kontoinhalt Kenntnis 
erlangen. Zu Lebzeiten müsse mit einem 
Missbrauch des Zugangs durch Dritte 
oder mit der Zugangsgewährung seitens 
des Kontoberechtigten gerechnet wer- 
den und bei dessen Tod mit der Verer- 
bung des Vertragsverhältnisses. 

EineDifferenzierung desKontozugangs 
nach vermögenswerten und höchstper- 
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sönlichen Inhalten scheide aus. Nach 
der gesetzgeberischen Wertung gingen 
auch Rechtspositionen mit höchstper- 
sönlichen Inhalten auf die Erben über. 
Analoge Dokumente wie Tagebücher und 
persönliche Briefe würden auch vererbt, 
wie aus $ 2047 Abs. 2 und 8 2373 Satz 2 
BGB zu schließen ist. Es bestehe aus erb- 
rechtlicher Sicht kein Grund dafür, digi- 
tale Inhalte anders zu behandeln. Einen 
Ausschluss der Vererblichkeit auf Grund 
des postmortalen Persönlichkeitsrechts 
der Erblasserin verneinte der III. Zivilse- 
nat ebenfalls. Auch das für das KG in sei- 
nem Urteil entscheidende Fernmeldege- 
heimnis (Art. 10 GG) stehe dem Anspruch 
der Klägerin nicht entgegen, da der Erbe, 
der vollständig in die Position des Erblas- 
sers einrückt, jedenfalls nicht „anderer“ 
im Sinne von 8 88 Abs. 3 TKG sei. 

Bei einer Datenschutzprüfung, für 
die der BGH die neue DSGVO anwenden 
musste, ergab sich kein anderes Ergeb- 
nis. Die der Übermittlung und Bereit- 
stellung von Nachrichten und sonstigen 
Inhalten immanente Verarbeitung der 
personenbezogenen Daten der Kommu- 
nikationspartner der Erblasserin seinach 
Art.6 Abs. 1lit. b Var. 1 und lit. £ DSGVO 
zulässig, also zur Erfüllung der vertrag- 
lichen Verpflichtungen gegenüber den 
Kommunikationspartnern der Erblasse- 


Cartoon 


WIESO BEZAHLST DU IMMER 
NOCH MIT BARGELD? 
MOBILE PAYMENT IST DOCH VIEL 
EINFACHER UND SCHNELLER! 


rin als auch auf Grund berechtigter über- 
wiegender Interessen der Erben. 

Die Mutter erklärte: „Wir sind über- 
aus erleichtert über die Entscheidung 
des BGH. Facebook hat immer betont, 
anhand unseres Falles Rechtssicherheit 
gewinnen zu wollen. Sie ist nun herge- 
stellt und darum hoffen wir sehr, dass 
das Unternehmen uns nun umgehend 
Zugang zu dem Account unserer Tochter 
gewährt und uns nicht weitere Wochen, 
Monate oder gar Jahre des quälenden 
Wartens zumutet.” Ein Facebook-Spre- 
cher erklärte derweil, das Abwägen zwi- 
schen den Wünschen von Angehörigen 
und dem Schutz der Privatsphäre Dritter 
sei eine der schwierigsten Fragen, die 
sich das Unternehmen stelle müsse: 
„Wir fühlen mit der Familie. Gleichzeitig 
müssen wir sicherstellen, dass der per- 
sönliche Austausch zwischen Menschen 
auf Facebook geschützt ist. Wir haben 
inhaltlich eine andere Position vertre- 
ten und der langwierige Prozess zeigt, 
wie komplex der verhandelte Sachver- 
halt ist” (BGH-Urteil Facebook muss 
Eltern Zugriff auf Nachrichten verstor- 
bener Tochter gewähren, www.spiegel. 
de 12.07.2018; BGH, PMNr. 115/2018 v. 
12.07.2018, Vertrag über ein Benutzer- 
konto bei einem sozialen Netzwerk ist 
vererbbar). 


50? UM MEIN SMARTPHONE EINZUSCHALTEN UND 
HOCHZUFAHREN BENÖTIGE ICH CA. 2 MINUTEN, 
APP STARTEN: 20 SEKUNDEN. UND DANN MUSS 
ICH ERST MAL RAUSFINDEN, OB DIE BEZAHLUNG 
NFC ODER QR-CODE ERFORDERT UND IPHONE- 
KOMPATIBEL IST. BEI BETRÄGEN UNTER 25,- EURO 
MUSS ICH NICHT MAL EINE PIN EINGEBEN. 
DAS IST DOCH ALLES ANDERE ALS SICHER. NACH 
MINDESTENS 3 MINUTEN HAT SICH EINE ENT- 
RÜSTETE SCHLANGE AN DER KASSE GEBILDET. ICH 
KANN MIR VORSTELLEN, WAS PASSIERT, WENN 
DANN DER AKKU LEER IST. 


159 


CHBECK 


CHBECK 


Gola, Peter (Hrsg.) 

DS-GVO - Datenschutz-Grundverord- 
nung VO (EU) 2016/679 Kommentar 
C.H.Beck 2. Aufl. 2018, 1092 S., ISBN 
978-3-406-72007-9, 85,- € 


(wh) Die hier vorliegende Auflage ist 
bereits ca. ein Jahr nach der ersten Auf- 
lage, die in der DANA 2/2017 (S. 115) 
besprochen wurde, erschienen. Laut 
Vorwort zur zweiten Auflage wird die 
„kurzfristig erschienene zweite Aufla- 
ge“ vom Verlag damit begründe, dass 
inzwischen „der nationale Gesetzgeber 
- innerhalb des von ihm möglicherweise 
zu großzügig eingeschätzten Erlaubsni- 
srahmens - Regelungen zur Ergänzung 
der Datenschutz-Grundverordnung in 
einer Neufassung des Bundesdaten- 
schutzgesetzes und weiteren Bereichs- 
spezifischen Gesetzen geschaffen hat“. 
Des Weiteren wurden zwischenzeitlich 
erschienene Kommentierungen der DS- 
GVO und des neuen BDSG berücksichtig. 
Dies erklärt auch den deutlichen Seiten- 
zuwachs gegenüber der ersten Auflage. 

Die grundsätzlichen Aussagen der 
Besprechung der ersten Auflage („Die 
Qualität der Kommentierung ist durch- 
gängig erfreulich.” „insbesondere für 
die PraktikerIn erkenntnisfördern“, 
„für die wissenschaftliche Tiefe ist dann 
aber doch noch ein Rückgriff auf weite- 
re Literatur nötig, wobei auf diese sehr 
zahlreich verwiesen wird.”) gelten auch 
für die zweite Auflage. Dies gilt leider 
auch für die in der Rezension der ersten 
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Auflage genannten inhaltlichen Kritik- 
punkte (z.B. Konflikt zwischen Berufs- 
geheimnissen und Datenschutzkontrol- 
le mit Vorrang für das Berufsgeheim- 
nis, werbefreundliche Auslegung des 
Art. 22, nahezu unkritisches Referie- 
ren der Beschränkungen der 88 32 bis 
36 BDSG). Der Kommentar lässt leider 
offen, an welchen Stellen der nationale 
Gesetzgeber die sogenannten Öffnungs- 
klauseln der DSGVO „möglicherweise zu 
großzügig” genutzt hat. Auch der vom 
deutschen Bundesinnenministerium 
geprägte Begriff der „Öffnungsklau- 
seln“, bei denen es sich nach der EU- 
Kommission nur um Konkretisierungs- 
und Regelungsklauseln handelt, wird 
unkritisch übernommen. 

Die Verknüpfung der Kommentierung 
der Artikel der DSGVO mit der direkt 
anschließenden Kommentierung der 
gegebenenfalls ergänzenden Paragra- 
phen des BDSG kann nur als gelungen 
bezeichnet werden, da diese Gestaltung 
der Kommentierung die Arbeit mit der 
DSGVO und dem BDSG wesentlich er- 
leichtert. 

Alles in allem ist auch die zweite Auf- 
lage - die vermutlich wegen des ge- 
stiegenen Umfangs im Preis um sechs 
Euro gestiegen ist - eine lohnenswerte 
Anschaffung für PraktikerInnen im Da- 
tenschutz. 


Paal, Boris P./Pauly, Daniel (Hrsg.) 
Datenschutz-Grundverordnung - 
Bundesdatenschutzgesetz, 
C.H.BECK-Verlag, 2. Aufl. 2018, 1260 5., 
ISBN 978-3-406-71838-0, 129,- € 


(wh) Auch dieser Kommentar liegt 
nun in der zweiten Auflage vor. Wäh- 
rend die erste Auflage, die in der DANA 
1/2017 (S. 67) besprochen wurde, sich 
noch ganz auf die EU-Datenschutz- 
Grundverordnung (DSGVO) beschränkte 
bezieht die zweite Auflage nun das am 
25. Mai 2018 in Kraft getretene BDSG 
mit ein. Dies führt zu einer deutlichen 
Umfang- und Preissteigerung. Auch das 
AutorInnen-Team wurde gegenüber der 


Buchbesprechungen 
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Erstauflage um drei BearbeiterInnen 
erweitert. Die Zunahme des Umfangs 
ist - laut dem Vorwort zur 2. Auflage „in 
erster Linie der Verdopplung der Rechts- 
quellen geschuldet.” 

Bei diesem Kommentar ist es - im Ge- 
gensatz zum im gleichen Verlag erschie- 
nenen Werk Gola, Peter (Hrsg.) „DS- 
GVO - Datenschutz-Grundverordnung” 
(s.o.), dass die Paragraphen des neuen 
BDSG nicht direkt hinter den entspre- 
chenden Artikeln kommentiert werden, 
sondern erst die DSGVO und dann das 
BDSG kommentiert wird. Dies führt zu 
einem höheren Aufwand beim Blättern, 
was aber dem Inhalt der Kommentierun- 
gen keinen Abbruch tut. 

Auch wenn sich die Inhaltsverzeich- 
nisse der einzelnen Kommentierungen 
in der 2. Auflage gegenüber der Erstau- 
flage geändert haben, ist doch der Be- 
zug zu den entsprechenden Abschnitten 
über die Randnummern möglich. Dies 
führt allerdings dazu, dass es Randnum- 
mern wie 1a, 1b, etc. gibt. 

Bei der Kommentierung des BDSG ist 
es den AutorInnen - wie bereits bei der 
Kommentierung der DSGVO - gelungen, 
die Rechtsmaterie so darzustellen, dass 
sie für die LeserInnen handhabbar ist, 
da hier die Regelungen des neuen BDSG 
mit den entsprechen Artikeln der DS- 
GVO und deren Kommentierung in Be- 
zug gesetzt werden. Wie schon für die 
Erstauflage vermerkt, kommen auch 
in der Zweitauflage praktische Anwen- 
dungsfragen zwangsläufig oft zu kurz. 
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Allerdings sind die Datenschutzprakti- 
kerInnen auch nicht explizit in der Ziel- 
gruppe aufgeführt, sondern „Rechts- 
anwaltschaft, Justiz, Unternehmen, 
Behörden, Verbände und Wissenschaft“. 
Die Aussage aus der Rezension der 
Erstauflage „Insofern ist die Kommen- 
tierung eine nützliche Hilfe“ gilt aber 
uneingeschränkt auch für die zweite 
Auflage. 


KOMPAKTKOMMENTAR 


Däubler, Wolfgang; Wedde, Peter; 
Weichert, Thilo; Sommer, Imke 
EU-Datenschutz-Grundverordnung und 
BDSG-neu - Kompaktkommentar 
BUND Verlag, 2018, 1379 S., ISBN 978- 
3-7663-6615-3, 99,- € 


(wh) Die Schwerpunkte dieses sehr 
umfangreichen Kompaktkommentars 
liegen insbesondere auf dem Beschäf- 
tigtendatenschutz, den Auswirkungen 
des neuen Datenschutzrechts auf In- 
teressenvertretungen der Beschäftig- 
ten und der Umsetzung der Betroffe- 
nenrechte. Neben der DSGVO und dem 
am 25. Mai 2018 in Kraft getretenen 
Bundesdatenschutzgesetz (BDSG) sind 
- auch wenn der Titel des Kommentars 
dies verschweigt - weitere bereichsspe- 
zifische Regelungen, die insbesondere 
- aber nicht nur - im Beschäftigten- 
datenschutz relevant sind, aufgeführt 
worden. Hierzu gehören Auszüge aus 
dem Telemediengesetz (TMG), das Un- 
terlassungsklagegesetz (UKlaG) und das 
Sicherheitsüberprüfungsgesetz (SÜG) 
sowie im Anhang unkommentiert ein- 
zelne Paragraphen aus dem UWG (8 7, 
der als Umsetzung von Art. 13 der ePri- 
vacy-Richtlinie, hier im Kommentar TK- 
DS-Richtlinie genannt, weiterhin gültig 
ist), dem StGB (8 203) und dem Kunst- 
UrhG (8 23). 
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Etwas unpraktisch ist auch hier, dass 
die die DSGVO ergänzenden Paragra- 
phen des neuen BDSG nicht direkt hinter 
den entsprechenden Artikeln kommen- 
tiert werden, sondern erst die DSGVO 
und dann das BDSG kommentiert wird. 
Dies führt zu einem höheren Aufwand 
beim Blättern, was aber dem Inhalt der 
Kommentierungen keinen Abbruch tut. 

Beim der Kommentierung des TMG 
ist etwas irritierend, dass die ePrivacy- 
Verordnung (ePrivVO) in der Fassung 
des Entwurfs der EU-Kommission abge- 
druckt wird. Da es bereits im Oktober 
2017 eine Entscheidung des EU-Parla- 
ments mit einer abgeänderten Fassung 
des Kommissionsentwurfs gibt und der- 
zeit noch gar nicht absehbar ist, wie die 
ePrivVO nach den Trilog-Verhandlungen 
aussehen wird, wäre dieser Abdruck an 
dieser Stelle entbehrlich gewesen. Er- 
freulich ist bei der Kommentierung des 
TMG aber, dass jeweils angegeben wird, 
ob die jeweilige Regelung auf der durch 
die DSGVO abgelöste EU-Datenschutz- 
richtlinie und/oder auf der durch die 
DSGVO nicht berührte ePrivacy-Richt- 
linie basiert. Dies erleichtert die Ein- 
schätzung, ob eine Regelung des TMG 
durch die DSGVO verdrängt wird oder 
nicht. 

Beim UKlaG und dem SÜG gibt es je- 
weils eine umfassende Einführung. Kom- 
mentiert werden aber nur die für die The- 
matik Datenschutz relevanten Paragra- 
phen, was der Übersichtlichkeit dient. 

Nicht nur durch den Verlag, sondern 
auch durch den Inhalt wird deutlich, 
dass die Zielgruppe dieses Kommentars 
betriebliche und behördliche Daten- 
schutzbeauftragte, Betriebs- und Per- 
sonalräte sowie Personalabteilungen 
sind. Aber auch allen, die aus anderen 
Gründen am Beschäftigtendatenschutz 
interessiert sind, ist dieser Kommentar 
sehr zu empfehlen. 


Schulte, Laura 

Vom quantitativen zum qualitativen 
Datenschutz 

Leitbildwandel im Datenschutzrecht 
Duncker&Humblot Berlin 2018, ISBN 
978-3-428-15389-3, 308 S., 89,90 € 


(tw) Angesichts der Masse existie- 
render Datenschutzliteratur ist es ver- 
wunderlich, dass sich bisher nur wenige 


AutorInnen daran gemacht haben, die 
Geschichte des nationalen deutschen 
Datenschutzgesetzgebers umfassend 
nachzuvollziehen und einer qualita- 
tiven Bewertung zu unterwerfen. Die 
Einleitung des früheren Simitis-Kom- 
mentars zum BDSG enthielt eine stark 
normativ-deskriptiv gehaltene Darstel- 
lung. Es blieb ein Defizit hinsichtlich 
einer übergeordneten Einordnung. Die- 
ses Defizit ist mit der Dissertation von 
Laura Schulte behoben. Mit dem nicht 
ganz eingängigen Titel legt die Auto- 
rin eine umfassende Studie über die 
allgemeine Datenschutzgesetzgebung 
von ihren ersten Anfängen in den 70er 
Jahren bis zum heutigen Zeitpunkt in 
Form des DSGVO-Anpassungs- und -Um- 
setzungsgesetzes vor. Dabei irritiert der 
nicht überzeugende Begriff des „quan- 
titativen Datenschutzes”, mit dem ein 
eindimensionaler, an Ge- und Verboten 
orientierter Rechtsrahmen beschrieben 
wird, dem eine „qualitativer Daten- 
schutz” entgegengestellt wird, der die 
unterschiedlichsten normativen, pro- 
zeduralen und technisch-organisato- 
rischen Regelungselemente beinhaltet 
und nicht nur auf Ordnungsrecht, son- 
dern auch auf die Gestaltung des Markt- 
geschehens setzt. 

Schulte erzählt unter ausführlicher 
Darstellung der Diskussionsgrund- 
lagen und -beiträge die Entwicklung 
vom ersten Datenschutzgesetz bis zur 
Umsetzung europäischer Vorgaben 
und kommt zu dem Schluss, dass der 
Gesetzgeber der technischen Entwick- 
lung regelmäßig hinterherhinkte und 
zumindest in der neueren Zeit nur 
noch reagierte, nicht aktiv gestalte- 
te. Dabei fragt sie, von welchen Leit- 
bildern dieser bestimmt war, also von 
welchen faktischen, theoretischen 
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und normativen Grundannahmen, die 
sie mit unterschiedlichen Begriffen 
kennzeichnet: Privatheit, Rationali- 
sierung, Markt, Sicherheit, System- 
schutz und, wie es Schulte nennt, e- 
Privacy, also das Zusammenspiel von 
Recht und Technik zur Ermöglichung 
grundrechtskonformer Online-Kom- 
munikation. Dabei geht sie auf die 
wichtigen markanten Wegweisungen 
ein, etwa die ersten Arbeiten auf Lan- 
desebene, die Sicherheitsdebatten der 
70er Jahre, das Volkszählungsurteil, 
die europäische Richtlinie, die Ent- 
wicklung der Bereichsspezifik, die 
Rezeptionen aus dem Medien- und 
dem IT-Sicherheitsrecht, die Debatten 
um den Datenschutz in der (Online-) 
Wirtschaft, das Grundrechte auf Ge- 
währleistung der Vertraulichkeit und 
Integrität informationstechnischer 
Systeme und schließlich die DSGVO, 
aber auch detailverliebt auf einzelne 
Ereignisse, Vorschläge und Meinungs- 
äußerungen. 

Anders als viele Dissertationen tas- 
tet sich die Arbeit nicht erst an das 
Thema heran, um es am Ende einiger- 
maßen erfasst zu haben, sondern be- 
schränkt sich von Anfang an auf das 
Wesentliche in kompetenter und ver- 
ständlicher Weise, was von einer um- 
fassenden Durchdringung der Materie 
zeugt, um dannin grundrechtsfreund- 
licher Weise und mit klaren Worten die 
jeweiligen Gesetzgebungsaktivitäten 
normativ und technisch, sowie mit 
Eingeschränkungen im politischen 
und ökonomischen Kontext einzuord- 
nen. Erfrischend ist dabei die Leich- 
tigkeit, mit der die Autorin zwischen 
jeweiligen Einzelnormen und dahinter 
stehenden Grundsatzüberlegungen 
hin- und herspringt. Dabei greift sie 
durchgehend auf die Originalunterla- 
gen zurück, so dass die Arbeit auch als 
Quellenfundbuch verwendet werden 
kann, unterlässt es aber nicht, einen 
ausgewogenen Blick in die üppige Li- 
teraturzu nehmen. Ein umfangreiches 
Inhalts-, Literatur- und Sachverzeich- 
nis ermöglicht die zeitübergreifende 
Erfassung sowie die Vertiefung von 
Einzelaspekten. Also: Wem es nicht 
nur um Anwendung, sondern um ein 
Grundverständnis von Datenschutz- 
entwicklungen geht, dem sei dieses 
Buch wärmstens empfohlen. 
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Grundrechte-Report 
201 


Dar Lage der Bürger und 
Werchrerechte m Deutschland 


Müller-Heidelberg, Till/Pelzer, Marei/ 
Heiming, Martin/Röhner, Cara/Göss- 
ner, Rolf/Fahrner, Matthias/Pollähne, 
Helmut/Seitz, Maria (Hrsg.) 
Grundrechte-Report 2018 - Zur Lage 
der Bürger- und Menschenrechte in 
Deutschland 

Fischer Taschenbuch, Frankfurt/Main 
2018, 240 S., 10,99 €, ISBN 978-3-596- 
70189-6 


(tw) Volker Beck präsentierte am 
29.05.2018 in Karlsruhe den Grundrech- 
te-Report 2018, den alternativen - oder 
nach anderer Lesart den wahren - Ver- 
fassungsschutzberichtt mehrerer Bür- 
gerrechtsorganisationen. Der Bericht ist 
wieder ein Spiegel der aktuell geführten 
Grundrechtsdiskussionen in Deutschland, 
wozu die Rehabilitation von Homosexuel- 
len, die Pflegesituation, die Kontrolle der 
Polizei, die Diskriminierung von Frauen 
z.B. bei Entgeltszahlungen, Transgender, 
das Kopftuchverbot, viele aktuelle Fra- 
gen zur Meinungsfreiheit, das Demons- 
trationsrecht, vieles mehr und in vielen 
Beiträgen die Flüchtlingspolitik stehen. 
Für Beck war dies daher die richtige Platt- 
form für Forderungen zu den Rechten von 
Flüchtlingen, die nach einer „Kaskade” 
von Gesetzen zu ihrer „Entrechtung” auf 
den Schutz der Zivilgesellschaft angewie- 
sen seien. 

In 45 Kurzbeiträgen wird knapp und 
klar auf das jeweiligen Thema eingegan- 
gen. Einen gewissen Schwerpunkt bilde- 
ten - wieder einmal - Überwachung und 
Sicherheitsbehörden. Die Reform des 
bayerischen Polizeigesetzes 2018 ist zwar 
noch kein Thema, wohl aber die vorange- 
gangene Änderung von 2017, die wesent- 
liche Elemente einer seit Jahren anhalten- 
den Entwicklung abbildet: die Vorverlage- 
rung von Eingriffsbefugnissen. Die Polizei 


ist zur Gefahrenabwehr da, die „Gefahr“ 
legitimiert Grundrechtseingriffe. Sie bil- 
det eineSchwelle, diemanim Fall Bayerns 
nun niedriger gesetzt hat: Für viele Maß- 
nahmen soll nun eine „drohende“ statt 
einer „konkreten” Gefahr genügen. Es ist 
letztlich eine schiefe Ebene hin zu immer 
mehr polizeilicher Ermächtigung, wie der 
Beitrag von Anna Katharina Mangold zum 
„Gefährder” zeigt. Was eine „Gefahr“ ist, 
lässt sich aus Sicht der Wissenschaftlerin 
noch halbwegs klar umreißen: als eine 
hinreichende Wahrscheinlichkeit eines 
bevorstehenden Schadens. Was bei der 
Einstufung als „Gefährder” maßgeblich 
ist, sei dagegen reichlich schemenhaft. 
Sie sei eine Prognose, jemand werde künf- 
tig Gefahren schaffen. Da aber die Annah- 
me einer „Gefahr“ selbst eine Prognose sei 
- etwas wird passieren -, laufe der Begriff 
Gefährder auf die „Prognose einer Progno- 
se” hinaus, also auf dünnes Eis. 

Weitere Beiträge handeln von Gesichts- 
erkennung per Video, von Online-Durch- 
suchung und Quellen-Telekommunika- 
tionsüberwachung, also von „intelligen- 
ten” Überwachungssystemen. Ihnen ist 
gemeinsam, dass neue Technik immertie- 
fer in die persönliche Sphäre eindringen 
kann. Von einer Videokamera aufgenom- 
men zu werden, ist weitaus harmloser, als 
automatisiert durch ein Identitätsraster 
gejagt zu werden. Aber esist nicht nur die 
spektakuläre Technik, die an der Freiheit 
nagt, es sind auch die scheinbar harmlo- 
sen Änderungen. Peter Schaar, einst Bun- 
desdatenschutzbeauftragter, wies darauf 
hin, dass digitale Passbilder neuerdings 
von Polizei, Nachrichtendiensten und an- 
deren Behörden automatisiert abgerufen 
werden dürfen. Theoretisch bleibe eine 
biometrische Zentraldatei zwar verboten, 
praktisch schaffe die Änderung aber die 
Voraussetzung dafür, „dass die verteilten 
Datenbestände der Pass- und Ausweisbe- 
hörden online zusammengeschaltet wer- 
den können”. 

Volker Beck erinnerte bei der Präsen- 
tation an das Vorratsdaten-Urteil von 
2010. Darin mahnte das Bundesverfas- 
sungsgericht, das Gesamtbild der Daten- 
sammelei in den Blick zu nehmen. „Dass 
die Freiheitswahrnehmung der Bürger 
nicht total erfasst und registriert werden 
darf, gehört zur verfassungsrechtlichen 
Identität der Bundesrepublik Deutsch- 
land“ (Janisch, Durchs Raster gejagt, SZ 
30./31.05.2018, 6). 
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Schaffland/Wiltfang 
Datenschutz-Grundverordnung 
(DS-GVO)/ Bundesdatenschutzgesetz 
(BDSG) - Kommentar, Loseblattwerk, 
Stand Juli 2018, 2642 Seiten (zwei 
Ordner), ISBN 978-3-503-17404-1, 
118,-- € (Grundwerk, mit Abnahmever- 
pflichtung der Ergänzungslieferungen 
für mindestens ein Jahr, 198,--€ ohne 
Abnahmeverpflichtung) 


(wh) Bei Loseblattwerken stellt sich 
fast immer die Frage: Wann lohnt sich 
eine Rezension? Dies gilt insbesonde- 
re bei Loseblattwerken, die in der ur- 
sprünglichen Form schon länger aufdem 
Markt sind. Dem Rezensionschreiber 
lag das Werk schon mit dem Stand der 
Ergänzungslieferung Mai 2018 vor. Zu 
diesem Zeitpunkt war aber schon klar, 
dass die in dieser Version noch enthal- 
tene systematische Kommentierung des 
alten BDSG nur noch von historischem 
Interesse ist und dass es einige Korrek- 
turen der DSGVO gab, die zu berücksich- 
tigen sein würden. Zudem war das neue 
BDSG bis dahin im Werk nur bis zum 
& 26 kommentiert, so dass eine Rezensi- 
on noch nicht sinnvoll erschien. Mit den 
Ergänzungslieferungen Juni 2018 und 
Juli 2018 ist nun die Kommentierung 
des neuen BDSG vervollständigt worden, 
mit der Ergänzungslieferung Juli 2018 
sind zudem die Korrekturen der DSGVO 
eingearbeitet und die systematische 
Kommentierung des BDSG aus dem Lo- 
seblatt werk herausgenommen worden: 
Alles in allem also ein guter Zeitpunkt 
für eine Rezension. 

Bei der Kommentierung der DSGVO im 
ersten Ordnerfälltsofort auf, dasssowohl 
der Bezug zu den entsprechenden Rege- 
lungen des alten BDSG als auch - sofern 
gegeben - ein Bezug zu entsprechenden 
Regelungen im neuen BDSG hergestellt 
wird. Durch diese Gestaltung ist es mög- 
lich geworden, die zum alten BDSG er- 
folgte Rechtsprechung den Regelungen 
der DSGVO - soweit passend - zuzuord- 
nen. Dies erspart es, ein zweites Werk 
(z.B. den letzten aktuellen Kommentar 
zum alten BDSG) bezüglich eventuell an- 
wendbarer bereits vorhandener Recht- 
sprechung zu konsultieren. Auch wird 
auf bereits vorliegende Kommentare zur 
DSGVO anderer AutorInnen verwiesen. 
Bei neuen Regelungsgegenständen, 
die im alten BDSG noch nicht enthalten 
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waren, wie z.B. die Anforderungen aus 
Art. 25 DSGV0, Datenschutz durch Tech- 
nikgestaltung und Datenschutz durch 
datenschutzfreundliche Voreinstellun- 
gen, fällt Kommentierung - verständli- 
cherweise - noch etwas knapp aus. 

An vielen Stellen, wie z.B. Art. 28 Auf- 
tragserarbeitung oder Art. 32 Sicherheit 
der Verarbeitung werden neben einer 
reinen Kommentierung auch hilfreiche 
weitergehende Hinweise gegeben - so 
z.B. welche Anforderungen von Auf- 
sichtsbehörden gestellt werden - und in 
Anhängen Muster vorgelegt. 

Auch wenn der zweite Ordner „Bun- 
desdatenschutzgesetz - BDSG“ heißt, 
lässt die Unterüberschrift „Ergänzbarer 
Kommentar nebst einschlägigen Rechts- 
vorschriften” bereits erahnen, dass dort 
nicht nur das BDSG enthalten ist, son- 
dern auch Landesdatenschutzgesetze, 
das kirchliche Datenschutzrecht der 
evangelischen und der römisch-katholi- 
schen Kirche (das Datenschutzrecht der 
alt-katholischen Kirche fehltleider) und 
diverse bereichspezifische Gesetze. Die 
Kommentierung beschränkt sich aber 
- wie vom Titel des zweiten Ordners ver- 
sprochen - auf das Bundesdatenschutz- 
gesetz. Die Reihenfolge der Landesda- 
tenschutzgesetze und des kirchlichen 
Datenschutzrechts ist etwas verwirrend. 
So finden sich zuerst die Landesdaten- 
schutzgesetze der alten Bundesländer 
(in alphabetischer Reihenfolge), dann 
zwei kirchliche Datenschutzgesetze und 
dann die Landesdatenschutzgesetze der 
neuen Bundesländer (ebenfalls in al- 
phabetischer Reihenfolge). Hier wäre es 
wünschenswert gewesen, wenn im Rah- 
men der durch die Novellierungen dieser 
Regelungen erforderlich gewordenen 
Aktualisierungen des Werkes die Tren- 
nung zwischen alten und neuen Bundes- 
ländern aufgehoben worden wäre. 

Die Kommentierung des neuen BDSG 
ist erfreulich ausführlich und um prak- 
tische Anwendungsfälle ergänzt. Ebenso 
wie im ersten Ordner wird hier der Bezug 
zum alten BDSG hergestellt. Dies giltins- 
besondere für die Regelungen des alten 
BDSG, die für öffentliche Stellen galten. 

Alles in allem ist dieses Werk eine sehr 
umfangreiche und nützliche Kommen- 
tierung der DSGVO und des neuen BDSG 
mit einigen Praxishilfen für die Umset- 
zung. Wer Loseblattwerke mit Ergän- 
zungslieferungen mag, der/dem kann 


dieses Werk guten Gewissens empfohlen 
werden. 


Däubler, Wolfgang 

Digitalisierung und Arbeitsrecht 
Internet, Arbeit 4.0 und Crowdwork 
6. Aufl. 2018, Bund-Verlag Frankfurt 
ISBN 978-3-7663-6690-0, 621., 
29,90 € 


(tw) 2001 veröffentlichte der Autor 
erstmals sein Buch zu arbeitsrechtlichen 
Fragen, die im Rahmen der Digitalisie- 
rung auftreten. Bis zur 5. Auflage aus 
dem Jahr 2015 trug das Werk noch den 
Titel „Internet und Arbeitsrecht”. Das 
wurde nun der Realität angepasst, zumal 
bei aller elektronischen Vernetzung im 
Beschäftigungsverhältnis nicht das In- 
ternet, sondern die Digitalisierung das 
zentrale prägende Merkmal ist. Däubler 
behandelt in dem völlig aktualisierten 
Werk themenbezogen alle sich um die 
Digitalisierung rankenden Themen, 
nicht nur, aber auch den Datenschutz 
und die Überwachung im Betrieb. Letz- 
teres wird ausführlicher in seinen „Glä- 
sernen Belegschaften” (DANA 1/2018, 
62) behandelt, dazu bestehen natürlich 
Redundanzen. Die wesentlichen Aspek- 
te werden insofern auch hier abgehan- 
delt und zwar auf aktuellem Niveau mit 
DSGVO und BDSG-neu. Für Betriebsräte 
ist das Buch darüber hinausgehend von 
großem Wert, weil es auch Fragen be- 
handelt, die Beschäftigte beschäftigen, 
ohne direkt mit Überwachung und Kon- 
trolle zu tun zu haben: Nutzung sozialer 
Netzwerke, Arbeitszeit, Arbeitsschutz, 
psychische Belastung, Gewerkschaften, 
Anspruch auf Qualifizierung, private 
Nutzung von Geräten, Homeoffice und 
Mobilnutzung, Internet-Arbeitsver- 
hältnis, Online-Auftragsvermittlung, 
Crowdwork und IT-Sicherheit. Neben 
dem individuellen spielt das kollektive 
Arbeitsrecht eine zentrale Rolle: Mitbe- 
stimmungsrecht und Mitbestimmungs- 
pflicht beim Einsatz digitaler Technik. 
In einfacher, klarer Sprache werden die 
nicht immer unkomplizierten Themen 
behandelt. Erschlossen sind diese auch 
über ein ausführliches Stichwortver- 
zeichnis. Adressen, Tipps und eine aus- 
führliches Literaturverzeichnis erhöhen 
den Nutzen für Betriebsräte, und das 
alles äußerst preiswert. 
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Wenn staatliche Hacker mit 
Bundestrojanern in der Lage 
sind, Computer und Handys zu 
durchsuchen, können sie auch 
Daten kompromittieren. 


Wer kontrolliert das? 


Gibt es von den Sicherheitsbehörden die 
Garantie für einen Schutz vor Missbrauch? 


Quis custodiet ipsos custodes? 


